BankBot verursacht weiterhin Unannehmlichkeiten

Der Android-Banker BankBot, der erstmals im Januar dieses Jahres auf den Plan trat, ist in der Lage die von Google implementierten Sicherheitsmaßnahmen zu umgehen und taucht immer wieder aufs Neue im Google Play Store auf.

Die Geschichte von BankBot begann mit der Veröffentlichung des Codes eines unbekannten Banktrojaners für Android in einem Untergrundforum für Hacker. Daraufhin wurde der Code weiterentwickelt, unter anderem wurden Mechanismen zum Umgehen des Google-Schutzes in Form von Google Bouncer umgesetzt. Zudem bildete er die Grundlage für BankBot, der bereits zum Ende des Monats begann, die Kunden russischer Banken aktiv anzugreifen. Im Laufe des folgenden Monats wurde der Code des Schädlings wesentlich überarbeitet, so dass der Banker nun auch in der Lage ist, Nutzer aus Großbritannien, Österreich, Deutschland und der Türkei anzugreifen.

Insgesamt konnten IT-Sicherheitsforscher drei verschiedene Kampagnen identifizieren, die mit dem Erscheinen von BankBot im offiziellen App-Store von Google zusammenhängen. Das Unternehmen reagierte jedes Mal operativ und entfernte die schädlichen Apps. Im Nachhinein stellte sich heraus, dass der Banker in allen Fällen die Überprüfung durch Bouncer durchlaufen hatte.

Das Ende des Monats April ist bereits in Sicht, doch die Kampagne ist noch immer aktiv. Entdeckt wurde BankBot ursprünglich von den Experten bei Dr. Web, bei Google Play fanden ihn erstmals die Forscher von ESET. Über die zwei folgenden Fälle von Verbreitung des Schädlings BankBot über den Google Play Store berichtete das holländische Unternehmen Securify.

Die erste schädliche App, die im Rahmen der jüngsten BankBot-Kampagne gefunden wurde, heißt Funny Videos 2017. Sie wurde 1000-5000 Mal heruntergeladen, bevor Google sie aus dem Play Store gelöscht hat. Die ebenfalls mit BankBot infizierte App HappyTimes Videos wurde am vergangenen Wochenende entdeckt und am Montag entfernt.

BankBot zeigt einen Phishing-Bildschirm an, der sich über das Interface der legitimen App für mobiles Banking legt. Wie sich herausstellte, ist der Trojaner in der Lage, die Account-Daten nicht nur von Banken-Apps, sondern auch von verschiedenen populären Portalen zu stehlen: Facebook, Viber, YouTube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter, Google Play Store.

BankBot hat zudem Ransomware-Qualitäten, denn der Trojaner ist in der Lage, den Bildschirm des Smartphones zu sperren. Darüber hinaus fängt der Schädling SMS ab, um das System der Zwei-Faktoren-Authentifizierung zu kompromittieren.

Die Experten sprechen von 424 Banken-Apps, die auf der Liste der Ziele von BankBot stehen. Nach Ansicht der Spezialisten wird sich der Trojaner im Laufe der Zeit in eine noch vielschichtigere und komplexere Bedrohung verwandeln und Nutzer, Banken und Sicherheitsexperten vor nicht geringe Probleme stellen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.