News

Aufstieg der Overlay-Schädlinge unter Android

Der Malware-Markt für Android hat sich mit der steigenden Beliebtheit von Overlay-Schädlingen deutlich belebt. Nach Angaben von IBM X-Force sind derartige Schadanwendungen in der Lage, Konto-Daten vom Smartphones zu stehlen. Außerdem erleichtern sie einem Angreifer die Umgehung der Zwei-Faktoren-Authentifikation.

Ein schädliches Überlagerungsprogramm erstellt einen transparenten Bildschirm, um so zusätzliche Informationen auf die zu Grunde liegende, dargestellte legitime Android-App zu legen. Mit Hilfe dieses Phishing-Bildschirms kann ein Angreifer die Nutzer dazu bringen, vertrauliche Informationen einzugeben, die der Schädling dann an einen entfernten Server sendet.

Die Nachfrage nach solchen Overlay-Schädlingen hat laut Aussage der Forscher einen regelrechten Preiskrieg und einen Fluss neuer Angebote hervorgebracht, die in den letzten Monaten zu einem reißenden Strom angeschwollen sind. Nach Worten von Limor Kessem, der IT-Sicherheitsexpertin aus der Forschungsabteilung von IBM, erwachte das Interesse an Overlay-Schadprogrammen im Cybercrime-Milieu Ende letzten Jahres, nachdem der Quellcode von GM Bot (bei Kaspersky Lab heißt er Acecard) durchgesickert war. In der Folge wurde dieser Quellcode modifiziert und der aktualisierte GM Bot kostet beträchtlich mehr als die Version von vor einem halben Jahr – 15.000 Dollar gegenüber den ursprünglichen fünftausend.

Derartig hohe Preise haben einen erbitterten Preiskampf unter Anbietern ähnlicher Schadsoftware für Android ausgelöst, kommentiert Kessem die Situation gegenüber Threatpost. Das Team von X-Force hat eine Reihe neuer Varianten auf dem Schwarzmarkt entdeckt, unter anderem Bilal Bot und Cron Bot. Auch der Verkauf des früher entwickelten KNL Bot hat stark angezogen. Der Preis für diesen alternativen Bots schwankt zwischen 3.000 und 6.000 Dollar, einige werden sogar als Service angeboten.

„Auf dem Schwarzmarkt ist jetzt eine Abkehr von Banktrojanern (für PCs) zu beobachten“, konstatiert Kessem. „Das neue „Schweizer Messer“ der Cyberkriminellen sind Overlay-Schädlinge. Sie sind äußerst flexibel und als Tool zum Diebstahl von Finanz-Accounts sehr effektiv, so wie auch zum Diebstahl vertraulicher Daten anderer Art von Android-Geräten.“

GM Bot wurde erstmals im Jahr 2014 entdeckt. Wie auch seine Nachfolger Bilal Bot, Cron Bot und KNL Bot nutzt dieser Schädling eine Sicherheitslücke in veralteten Android-Versionen aus (niedriger als 5.0), die die Möglichkeit bieten, die Aktivität des Nutzers zu verfolgen. Kessem kann noch nicht mit Sicherheit bestätigen, dass alle aufgezählten Spielarten von GM Bot denselben Grundcode verwenden: „Die Wahrscheinlichkeit, dass es so ist, ist groß, aber bisher haben wir noch keine Samples analysiert.“

Die neusten Varianten von Overlay-Schädlingen sind auch insofern ähnlich, als dass sie von den Entwicklern direkt verkauft werden. „Es gibt immer weniger Mittelsmänner“, stellte Kessem fest. „Die Software wird jetzt von den Entwicklern selbst betreut, die regelmäßig Updates herausgeben, Bugs beseitigen und Technischen Support leisten.“

Die Forscher von X-Force stellten zudem eine Ähnlichkeit in der Auswahl der Funktionen in allen APK fest: Neben der Fähigkeit einen Phishing-Bildschirm darzustellen können alle Überlagerungsschädlinge SMS abfangen, Telefonanrufe umleiten und die Ländervorwahlen nachverfolgen. Um der Erkennung zu entgehen, setzen sie alle Polymorphismus ein.

Die Forscher erwarten ein Aufblühen von Botnetzen auf der Grundlage von Overlay-Schädlingen, die ihre Effizienz als Mittel zum Diebstahl von Finanz-IDs, Authentifizierungscodes und anderen Anwender-Daten von mobilen Geräten bereits unter Beweis gestellt haben. Es gibt aber auch eine gute Nachricht: „Overlay-Schädlinge sind relativ einfach abzuwehren“, erklärte Kessem mit der Begründung, dass App-Entwickler mit Overlay-Attacken rechnen müssten. „Die Apps müssen technisch ausgefeilter sein und sich vor solchen Angriffen schützen oder die Anwender zumindest warnen können, wenn auf ihrem Gerät ein Überlagerungsschadprogramm auftaucht.“

Quelle: Threatpost

Aufstieg der Overlay-Schädlinge unter Android

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach