Mobiles Phishing – neue Funktionalität des Android-Trojaners Svpeng

Seit Veröffentlichung unseres ersten Blogposts über den mobilen Trojaner Trojan-SMS.AndroidOS.Svpeng haben die Cyberkriminellen seine Funktionalität vervollkommnet. Nun gehört auch Phishing zum Tätigkeitfeld von Svpeng, der jetzt versucht, die Finanzdaten der Anwender abzufischen.

Wenn ein Nutzer die Banken-App einer der größten russischen Banken öffnet, ersetzt der Trojaner das geöffnete Fenster durch ein Phishing-Fenster, in der Hoffnung, dem Opfer so seine Registrierungsdaten – Benutzernamen und Kennwort – für das Online-Banking zu entlocken:

mobile_phishing_1

Daten, die der Nutzer hier eingibt, werden an die Cyberkriminellen weitergeleitet.

Auf ähnliche Weise versucht der Schädling, Kreditkartendaten zu stehlen. Der Trojaner überprüft, ob Google Play geöffnet ist:

mobile_phishing_2

Startet der Anwender dieses Programm, zeigt der Trojaner über dem Fenster von Google Play sein eigenes Fenster mit der Aufforderung an, hier die Kreditkartendaten einzugeben:

mobile_phishing_3

Alle vom Anwender eingegeben Daten werden umgehend an die Online-Verbrecher gesendet.

Zur Erinnerung: Dieser Schädling ist in der Lage, Geld von den Konten seiner Opfer zu stehlen. Sofort nach dem Start sendet der Trojaner eine SMS an die Nummern zweier russischer Großbanken:

mobile_phishing_4

Auf diese Weise überprüft er, ob die Karten dieser Banken mit der Nummer des infizierten Telefons zusammenhängen, und er enthält eine Bilanz, die er an den C&C-Server der Cyberkriminellen schickt. Wenn das Telefon mit der Bankkarte in Verbindung steht, so kann vom Kommandozentrum der Befehl ausgegeben werden, Geld von dem Bankkonto des Anwenders auf das mobile Konto der Cyberkriminellen zu überweisen. Dieses Geld können die Cyberkriminellen in Bares umwandeln, indem sie es vorläufig in ihre elektronischen Brieftaschen transferieren.

Bisher greift der Trojaner nur Kunden russischer Banken an, doch in der Regel beginnen die Cyberkriminellen – nachdem sie eine Technologie im russischen Internetsegment ausgearbeitet haben – diese auch in Attacken auf Nutzer in anderen Ländern einzusetzen. Schon jetzt überprüft das Schadprogramm nach dem Neustart des Telefons die Sprachversion des Betriebssystems. Die folgenden Länder sind dabei für den Trojaner von Interesse: die USA (Us), Deutschland (De), die Ukraine (Ua) und Weißrussland (By).

mobile_phishing_4.1

Nach der Überprüfung zeigt Trojan-SMS.AndroidOS.Svpeng dem Nutzer auf Befehl des Servers ein Fenster mit der Mitteilung „Lade, bitte warten.“ in der entsprechenden Sprache an. Nach Anweisung vom C&C öffnet der Trojaner daraufhin eine Webseite (zumeist eine Phishing-Seite), deren Adresse er ebenfalls vom C&C der Cyberkriminellen erhält.

Innerhalb der drei Monate seiner Existenz entdeckten wir 50 Modifikationen dieses Schädlings und Kaspersky Internet Security für Android blockierte über 900 Installationen des Trojaners. Verbreitet wird das Schadprogramm mit Hilfe von schädlichem SMS-Spam.

Der Trojaner ist sehr um seinen Selbstschutz besorgt:

mobile_phishing_6

Um Antiviren-Programme daran zu hindern, ihn zu löschen, verwendet der Trojaner nach wie vor den Standard-Mechanismus von Android – deviceAdmin.

mobile_phishing_7

Und damit der Nutzer den DeviceAdmin nicht deaktiviert, nutzt der Trojaner eine bisher unbekannte Sicherheitslücke in Android. Auf dieselbe Weise versucht der Trojaner auch, das Zurücksetzen auf Werkseinstellungen zu verhindern.

Wir möchten darauf hinweisen, dass – ungeachtet all dieser Finessen – KIS für Android in der Lage ist, dieses Schadprogramm zu löschen. Daher ist ein Antivirus der einzige Schutz vor diesem Cyberdieb.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.