Aufstieg der Overlay-Schädlinge unter Android

Der Malware-Markt für Android hat sich mit der steigenden Beliebtheit von Overlay-Schädlingen deutlich belebt. Nach Angaben von IBM X-Force sind derartige Schadanwendungen in der Lage, Konto-Daten vom Smartphones zu stehlen. Außerdem erleichtern sie einem Angreifer die Umgehung der Zwei-Faktoren-Authentifikation.

Ein schädliches Überlagerungsprogramm erstellt einen transparenten Bildschirm, um so zusätzliche Informationen auf die zu Grunde liegende, dargestellte legitime Android-App zu legen. Mit Hilfe dieses Phishing-Bildschirms kann ein Angreifer die Nutzer dazu bringen, vertrauliche Informationen einzugeben, die der Schädling dann an einen entfernten Server sendet.

Die Nachfrage nach solchen Overlay-Schädlingen hat laut Aussage der Forscher einen regelrechten Preiskrieg und einen Fluss neuer Angebote hervorgebracht, die in den letzten Monaten zu einem reißenden Strom angeschwollen sind. Nach Worten von Limor Kessem, der IT-Sicherheitsexpertin aus der Forschungsabteilung von IBM, erwachte das Interesse an Overlay-Schadprogrammen im Cybercrime-Milieu Ende letzten Jahres, nachdem der Quellcode von GM Bot (bei Kaspersky Lab heißt er Acecard) durchgesickert war. In der Folge wurde dieser Quellcode modifiziert und der aktualisierte GM Bot kostet beträchtlich mehr als die Version von vor einem halben Jahr – 15.000 Dollar gegenüber den ursprünglichen fünftausend.

Derartig hohe Preise haben einen erbitterten Preiskampf unter Anbietern ähnlicher Schadsoftware für Android ausgelöst, kommentiert Kessem die Situation gegenüber Threatpost. Das Team von X-Force hat eine Reihe neuer Varianten auf dem Schwarzmarkt entdeckt, unter anderem Bilal Bot und Cron Bot. Auch der Verkauf des früher entwickelten KNL Bot hat stark angezogen. Der Preis für diesen alternativen Bots schwankt zwischen 3.000 und 6.000 Dollar, einige werden sogar als Service angeboten.

„Auf dem Schwarzmarkt ist jetzt eine Abkehr von Banktrojanern (für PCs) zu beobachten“, konstatiert Kessem. „Das neue „Schweizer Messer“ der Cyberkriminellen sind Overlay-Schädlinge. Sie sind äußerst flexibel und als Tool zum Diebstahl von Finanz-Accounts sehr effektiv, so wie auch zum Diebstahl vertraulicher Daten anderer Art von Android-Geräten.“

GM Bot wurde erstmals im Jahr 2014 entdeckt. Wie auch seine Nachfolger Bilal Bot, Cron Bot und KNL Bot nutzt dieser Schädling eine Sicherheitslücke in veralteten Android-Versionen aus (niedriger als 5.0), die die Möglichkeit bieten, die Aktivität des Nutzers zu verfolgen. Kessem kann noch nicht mit Sicherheit bestätigen, dass alle aufgezählten Spielarten von GM Bot denselben Grundcode verwenden: „Die Wahrscheinlichkeit, dass es so ist, ist groß, aber bisher haben wir noch keine Samples analysiert.“

Die neusten Varianten von Overlay-Schädlingen sind auch insofern ähnlich, als dass sie von den Entwicklern direkt verkauft werden. „Es gibt immer weniger Mittelsmänner“, stellte Kessem fest. „Die Software wird jetzt von den Entwicklern selbst betreut, die regelmäßig Updates herausgeben, Bugs beseitigen und Technischen Support leisten.“

Die Forscher von X-Force stellten zudem eine Ähnlichkeit in der Auswahl der Funktionen in allen APK fest: Neben der Fähigkeit einen Phishing-Bildschirm darzustellen können alle Überlagerungsschädlinge SMS abfangen, Telefonanrufe umleiten und die Ländervorwahlen nachverfolgen. Um der Erkennung zu entgehen, setzen sie alle Polymorphismus ein.

Die Forscher erwarten ein Aufblühen von Botnetzen auf der Grundlage von Overlay-Schädlingen, die ihre Effizienz als Mittel zum Diebstahl von Finanz-IDs, Authentifizierungscodes und anderen Anwender-Daten von mobilen Geräten bereits unter Beweis gestellt haben. Es gibt aber auch eine gute Nachricht: „Overlay-Schädlinge sind relativ einfach abzuwehren“, erklärte Kessem mit der Begründung, dass App-Entwickler mit Overlay-Attacken rechnen müssten. „Die Apps müssen technisch ausgefeilter sein und sich vor solchen Angriffen schützen oder die Anwender zumindest warnen können, wenn auf ihrem Gerät ein Überlagerungsschadprogramm auftaucht.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.