Das McAfee Mobile Malware Research Team hat Malware gefunden, die speziell auf Mexiko abzielt. Sie gibt sich als Sicherheitstool für Online-Banking oder als eine Bank-App zur Meldung defekter Geldautomaten aus. In beiden Fällen setzt die Malware auf ein Gefühl der Dringlichkeit, um die Zielpersonen zur Nutzung des Tools zu bewegen. Sie kann Authentifizierungsdaten stehlen, die für den Zugriff auf die Konten ihrer Opfer bei den jeweiligen mexikanischen Finanzinstituten benötigt werden.
McAfee Mobile Security identifiziert diese Bedrohung gemeinsam mit ihren Varianten als Android/Banker.BT.
Wie verbreitet sich diese Malware?
Die Malware wird über eine bösartige Phishing-Seite verbreitet, die Sicherheitstipps für Bankgeschäfte gibt (die von der Original-Website der Bank kopiert wurden) und empfiehlt, die bösartigen Apps als Sicherheitstool oder als App zur Meldung von außer Betrieb befindlichen Geldautomaten herunterzuladen. Es ist sehr wahrscheinlich, dass die Bedrohung außerdem durch eine Smishing-Kampagne verbreitet wird. Möglicherweise werden die Opfer auch direkt durch betrügerische Telefonanrufe von den Kriminellen kontaktiert, was in Lateinamerika häufig vorkommt. Zum Glück wurde diese Bedrohung noch nicht auf Google Play gefunden.
So können Sie sich schützen
Während der Pandemie gingen die Banken bei der Interaktion mit ihren Kunden neue Wege. Diese raschen Veränderungen führten dazu, dass die Kunden aufgrund der neuen, kontaktlosen Normalität eher bereit waren, neue Verfahren zu akzeptieren und neue Apps zu installieren. Angesichts dieser Tatsache entwickelten Cyberkriminelle neue Betrugs- und Phishing-Angriffe, die glaubwürdiger wirken als die früheren, sodass Verbraucher leichter darauf hereinfallen.
Glücklicherweise ist McAfee Mobile Security in der Lage, diese neue Bedrohung als Android/Banker.BT zu erkennen. So schützen Sie sich vor dieser und ähnlichen Bedrohungen:
- Installieren Sie Sicherheitssoftware auf Ihren Mobilgeräten.
- Bleiben Sie auf der Hut, um keine verdächtigen Apps herunterzuladen und zu installieren, vor allem, wenn sie Berechtigungen für den Zugriff auf SMS oder Benachrichtigungen anfordern.
- Verwenden Sie offizielle App-Stores, aber vertrauen Sie ihnen nicht blind, da auch über diese Stores Malware verbreitet werden kann. Überprüfen Sie daher die Berechtigungen, lesen Sie Bewertungen und suchen Sie nach Informationen zu den Entwicklern.
- Verwenden Sie Token-basierte Zwei-Faktor-Authentifizierung (über eine Hardware oder Software) statt SMS-Authentifizierung
Möchten Sie weitere Einzelheiten erfahren? Hier ist ein detaillierterer Einblick in diese Malware
Verhalten: Verleiten des Opfers zur Eingabe seiner Anmeldeinformationen
Sobald die bösartige App installiert und gestartet wurde, zeigt die erste Aktivität eine Meldung auf Spanisch an, die den vorgeblichen Zweck der App erklärt:
– Fake Tool zur Meldung betrügerischer Vorgänge, das ein Gefühl der Dringlichkeit vermittelt
“<Name der Bank> hat ein Instrument geschaffen, mit dem Sie jede verdächtige Kontobewegung sperren können. Alle in der App aufgeführten Vorgänge sind noch nicht abgeschlossen. Wenn Sie die nicht erkannten Transaktionen nicht innerhalb von 24 Stunden sperren, wird Ihr Konto automatisch belastet.
Nach Abschluss der Sperrung erhalten Sie eine SMS mit den Einzelheiten der gesperrten Vorgänge.”
Im Fall des Fake-Tools zur Meldung defekter Geldautomaten soll der Kunde eine neue Kreditkarte anfordern. Es gibt einen ähnlichen Text, mit dem sich Benutzer in falscher Sicherheit wiegen:
“Als Covid-19-Sicherheitsmaßnahme wurde diese neue Option geschaffen. Sie erhalten per SMS eine ID und können dann Ihre neue Karte in jeder Filiale beantragen oder sie kostenlos an Ihre registrierte Heimatadresse schicken lassen. Achtung! Wir werden niemals Ihre sensiblen Daten wie NIP oder CVV abfragen.” Dies verleiht der App Glaubwürdigkeit, da sie behauptet, keine sensiblen Daten abzufragen; sie fragt jedoch nach den Zugangsdaten für das Online-Banking.
Wenn die Opfer auf “Ingresar” (“Eingeben”) tippen, fordert der Banking-Trojaner SMS-Berechtigungen an und startet eine Aktivität zur Eingabe der Benutzerkennung oder Kontonummer und des Kennworts. Im Hintergrund wird das Kennwort oder der “Schlüssel” an den Server des Kriminellen gesendet, ohne dass überprüft wird, ob die eingegebenen Anmeldedaten gültig sind, und ohne dass eine Umleitung zur ursprünglichen Bank-Website erfolgt, wie es bei vielen anderen Banking-Trojanern der Fall ist.
Am Ende wird eine vorher angefertigte, gefälschte Liste von Transaktionen angezeigt, sodass der Benutzer die Möglichkeit hat, diese zu blockieren. Zu diesem Zeitpunkt haben die Betrüger jedoch bereits die Anmeldedaten des Opfers sowie Zugang zu den SMS-Nachrichten auf dem Gerät, um so den zweiten Authentifizierungsfaktor zu stehlen.
Im Falle der gefälschten App zur Beantragung einer neuen Karte zeigt die App eine Meldung an, in der es am Ende heißt: “Wir haben diese Covid-19-Sicherheitsmaßnahme entwickelt und bitten Sie, unsere Tipps zur Betrugsbekämpfung zu lesen, in denen Sie erfahren, wie Sie Ihr Konto schützen können.”
Im Hintergrund kontaktiert die Malware den Command-and-Control-Server, der in derselben Domäne gehostet wird, die auch für die Bereitstellung verwendet wird, und sendet die Anmeldeinformationen und alle SMS-Nachrichten des Benutzers über https als Abfrageparameter (als Teil der URL), was dazu führen kann, dass die sensiblen Daten in den Web-Serverprotokollen und nicht nur am endgültigen Zielort des Angreifers gespeichert werden. In der Regel nutzt Malware dieser Art nur wenig Sicherheitsvorkehrungen bei der Verarbeitung gestohlener Daten. Es überrascht daher nicht, wenn sie von anderen kriminellen Gruppen abgefangen werden, was das Risiko für die Opfer noch erhöht. In Abbildung 8 ist ein Screenshot einer tatsächlichen Seite zu sehen, die die Struktur zur Anzeige der gestohlenen Daten enthält.
Spalten im Tabellenkopf: Datum, Von, Nachricht, Benutzer, Passwort, Kennung:
Diese betrügerische Bank-App ist besonders interessant, da es sich um eine von Grund auf neu entwickelte Malware handelt, die unabhängig von den bekannten und leistungsfähigeren Banking-Trojaner-Frameworks agiert, die auf dem Schwarzmarkt unter Cyberkriminellen gehandelt werden. Hierbei handelt es sich eindeutig um eine lokale Entwicklung, die sich in Zukunft zu einer ernsthafteren Bedrohung entwickeln könnte, da der dekompilierte Code zeigt, dass die Klasse “Bedienungshilfen” zwar vorhanden, aber nicht implementiert ist, was darauf hindeutet, dass die Malware-Autoren versuchen, das bösartige Verhalten ausgereifterer Malware-Familien nachzuahmen. Hinsichtlich der möglichen Verschleierung ihres Vorgehens enthält die Malware keine Technik, um eine Analyse, Erkennung oder Dekompilierung zu vermeiden, was darauf hindeutet, dass sie sich noch in einem frühen Stadium der Entwicklung befindet.
IoC
SHA256:
- 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
- b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
- 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
- 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0
Domänen:
- https[://]appmx2021.com
Bleiben Sie auf dem Laufenden
Folgen Sie uns, um alle Neuigkeiten von McAfee und zu aktuellen Sicherheitsbedrohungen für Privatanwender und Mobilgeräte zu erfahren.
