Bank-Trojaner der tausend Möglichkeiten

Inhalt

Bisher konnten wir immer wieder beobachten, wie Werbeprogramme, etwa Leech, Guerrilla, Ztorg, sich Superuser-Rechte aneignen und diese zu ihren Zwecken ausnutzen. Für Banken-Schädlinge sind Angriffe unter Verwendung von Root-Privilegien dagegen eher untypisch, denn Geld lässt sich auf vielerlei Weise stehlen, auch ohne erhöhte Rechte. Doch Anfang Februar 2016 entdeckten wir bei Kaspersky Lab den Bank-Trojaner Trojan-Banker.AndroidOS.Tordow.a, dessen Schöpfer der Meinung waren, dass Root-Privilegien durchaus von Nutzen sein könnten. Wir haben die Entwicklung dieses Schädlings im Folgenden beobachtet und festgestellt, dass die Möglichkeiten von Tordow die Funktionalität der meisten bis dahin entdeckten Bank-Schädlinge bei weitem übersteigt, was den Cyberkriminellen die Möglichkeit gibt, ganz neue Angriffsarten umzusetzen.

Eindringen

Die Infektion mit Tordow beginnt mit der Installation einer – in erster Linie in Russland – populären App, beispielsweise „VKontakte“, „DrugVokrug“ oder „Odnoklassniki“, aber auch mit der Installation von „Pokemon Go“, „Telegram“ oder „Subway Surfers“. Dabei ist die Rede hier nicht von den Original-Apps, sondern von Kopien, die außerhalb des offiziellen Shops Google Play verbreitet werden. Die Hacker laden die legitimen Apps herunter, analysieren sie und ergänzen dann neuen Code und neue Dateien.

Bank-Trojaner der tausend Möglichkeiten

Einer legitimen App hinzugefügter Code

Jeder, der über Grundkenntnisse der Entwicklung unter Android verfügt, kann eine solche Operation durchführen. Das Ergebnis ist eine neue Anwendung, die der Original-App sehr ähnlich ist und auch die originalen Funktionen ausführt, darüber hinaus aber über schädliche Funktionalität verfügt, die für die Cyberkriminellen unerlässlich ist.

Funktionsprinzip

In dem von Kaspersky Lab untersuchten Fall entschlüsselt der in die legitime App eingeschleuste Code die Datei, die die Hacker der App hinzugefügt haben, und führt diese aus.

Die gestartete Datei verbindet sich mit dem Server der Cyberkriminellen und lädt den Hauptteil von Tordow herunter, der Links auf den Download einiger weiterer Dateien enthält – auf ein Exploit zum Erhalt von Root-Rechten, auf neue Versionen des Schädlings und so weiter. Die Zahl der Links kann in Abhängigkeit von den Plänen der Cyberkriminellen schwanken, mehr noch – jede heruntergeladene Datei kann vom Server zusätzlich neue Komponenten vom Server laden, entschlüsseln und starten. Als Ergebnis werden mehrere Module des Schädlings auf das Gerät geladen, deren Funktionalität ebenfalls von den Wünschen der Betreiber von Tordow abhängt. So oder anders erhalten die Angreifer die Möglichkeit, das Gerät aus der Ferne zu kontrollieren, indem sie vom Steuerungsserver Befehle senden.

So erhalten die Cyberverbrecher eine ganze Auswahl an Funktionen, die dazu geeignet sind, das Geld der Anwender mit Hilfe von Methoden zu stehlen, die für mobile Bank-Trojaner und Ransomware bereits zur Tradition geworden sind. Zu den Funktionen der schädlichen Anwendung gehören:

  • Versenden, Diebstahl und Löschen von SMS.
  • Aufzeichnen, Umleiten und Blockieren von Anrufen.
  • Kontoeinsicht.
  • Diebstahl der Kontakte.
  • Telefonieren.
  • Ändern des Steuerungsservers.
  • Download und Ausführen von Dateien.
  • Installieren und Löschen von Apps.
  • Blockieren des Geräts unter Anzeige einer vom Server der Cyberkriminellen vorgegebenen Webseite.
  • Erstellen einer Liste der Dateien, die sich auf dem Gerät befinden und deren anschließende Übermittlung an die Cyberkriminellen; Versand und Umbenennung jeder beliebigen Datei.
  • Neustart des Telefons.

Superuser-Rechte

Neben dem Download der Module des Bank-Trojaners selbst, lädt Tordow (der festgeschriebenen Download-Folge entsprechend) noch weitere populäre Exploit-Packs für den Erhalt von Root-Rechten herunter, wodurch der Schädling einen neuen Angriffsvektor und einmalige Möglichkeiten erhält.

Erstens installiert der Trojaner eins der heruntergeladenen Module in einem Systemordner, was zur Folge hat, dass er nur noch schwer zu löschen ist.

Zweitens kapern die Cyberkriminellen mit Hilfe der Superuser-Rechte die Datenbanken des Android-Standardbrowsers und des Browsers Google Chrome, wenn dieser installiert ist.

Bank-Trojaner der tausend Möglichkeiten

Code der an den Server gesendeten Daten aus dem Browser

In diesen Datenbanken befinden sich alle Benutzernamen und Passwörter, die der Anwender im Browser gespeichert hat, ebenso der Verlauf der besuchten Websites, Cookies und manchmal sogar gespeicherte Bankkartendaten.

Bank-Trojaner der tausend Möglichkeiten

Benutzername und Passwort für eine bestimmte Website in der Datenbank des Browsers

Auf diese Weise können sich die Cybergangster Zugriff auf eine Vielzahl von Accounts des Opfers für verschiedenste Websites verschaffen.

Und drittens ermöglichen Superuser-Rechte den Diebstahl nahezu jeder beliebigen Datei im System – von Fotografien und Dokumenten über Dateien mit Accountdaten von mobilen Apps.

Das Ergebnis solcher Attacken kann der Diebstahl einer enormen Menge wichtiger Nutzerdaten sein. Wir empfehlen, keine Apps aus nicht offiziellen Quellen zu installieren und eine Antiviren-Lösung zum Schutz Ihres Android-Geräts zu verwenden.

MD5

06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.