Banking-Trojaner tarnt sich als Scanner

Vorsicht vor gefälschten Apps: Das ThreatLabZ-Team von Zscaler hat unlängst mit Joker, Facestealer und Coper drei Malware-Familien aufgespürt, die über Apps im Google Playstore verbreitet wurden. Auch wenn eine Reihe von infizierten Apps daraufhin sofort aus dem Playstore entfernt wurde, besteht immer noch die Gefahr, dass diese Apps von Anwendern heruntergeladen wurden und ihr Unwesen treiben können. Eine der infizierten Apps zielt mit dem Banking-Trojaner Coper auf Bankkunden in Deutschland, Europa, Australien und Südamerika ab.

Nach dem Herunterladen der QR-Scanner-App aktiviert diese die Coper Malware auf dem Gerät des Opfers. Sie verfügt über zahlreiche Funktionen wie das Abfangen und Versenden von SMS, das Verschicken von USSD-Anfragen (Unstructured Supplementary Service Data), Keylogging, eine Bildschirmsperr- oder Freigabefunktion für Dritte oder kann Overly-Attacken durchführen. Darüber hinaus verhindert der Schadcode die Deinstallation und erlaubt es Angreifern, die Kontrolle über das infizierte Gerät zu übernehmen und Befehle über eine Fernverbindung mit einem Command & Control Server auszuführen. Das Ergebnis dieser Aktivitäten führt dazu, dass die Angreifer Informationen und Zugang erhalten, um Geld von den Opfern zu stehlen.

Die betroffene App ist ein kostenloser QR-Scanner, der sich unter Namen „Unicc QR Scanner“ tarnt. Nach der Installation fordert die App den Benutzer sofort auf, die App zu aktualisieren. Daraufhin wird eine Dropper Malware oder eine Backdoor auf dem betroffenen Gerät installiert, Dabei kommt das Google Firebase App-Entwickler-Tool zum Einsatz, um die URL aufzurufen und zu empfangen, über die bösartige Payload ausgeliefert wird. Der Name der installierten Payload wird dabei von den Malware-Akteuren ständig verändert. Bei der neu installierten Datei handelt es sich um eine gefälschte Google Playstore-App mit dem Paketnamen „com.fromtoo2“, die den Benutzer sofort auffordert, eine erweiterte Zugriffsberechtigung zu erteilen, um damit die volle Kontrolle über das Telefon des Benutzers zu übernehmen. Im Hintergrund lädt die gefälschte App die ausführbare Datei „libWeEq.so“ und ruft die vordefinierte Funktion „MvsEujZ“ auf.

Die Funktion MvsEujZ entschlüsselt eine lauffähige Datei und fordert den Benutzer auf, beim Start erweiterte Zugriffsrechte zu erteilen. Diese endgültige Payload verwendet die Rivest Cipher 4 (RC4)-Verschlüsselung, um ihre bösartigen Signaturen zu verbergen und eine Entdeckung zu vermeiden. Für den Fall, dass der Virtual Network Computing (VNC)-Dienst für den Fernsteuerungszugriff nicht verfügbar ist, nutzen die Malware-Autoren die Android-App TeamViewer, um den Bildschirm des infizierten Geräts zu überwachen. Im Backend von WebView wird ein bösartiges Javascript geladen, damit die Angreifer über eine Command & Control-Serververbindung die volle Kontrolle übernehmen, um das Opfer zu kompromittieren und schließlich zu erpressen.

Marc Lueck, CISO EMEA bei Zscaler erläutert das Gefahrenpotenzial von mobiler Malware: „Mobile Geräte sind so sehr Teil unseres Lebens geworden, dass wir uns für viele Alltagsdinge auf sie verlassen, vom arbeitsbezogenen Zugang zu Daten und Anwendungen bis hin zu Bankgeschäften und E-Commerce. Darauf setzt mobile Malware mit ihren verschiedenartigsten Facetten, die Geräte der User zu kompromittieren und aus den Angriffen Profit zu schlagen. Dabei ist das Gefahrenpotenzial eines mobilen Geräts höher als bei einem Computer, da sogar eingehende Telefonanrufe ausgespäht werden können.“