Bösartige Apps nutzen bewegungsbasierte Vermeidungstechniken und platzieren Banking Malware

Originalbeitrag von Kevin Sun

Vor kurzem entdeckten die Sicherheitsforscher von Trend Micro zwei bösartige Apps in Google Play, die Banking-Malware platzieren. Die beiden Apps tarnten sich als nützliche Tools, nämlich Currency Converter und BatterySaverMobi. Google bestätigte, die Apps aus dem Play Store entfernt zu haben. Die Akku-App wurde mehr als 5.000 Mal heruntergeladen und wurde mit 4,5 Sternen von 73 Nutzern bewertet. Doch zeigt ein näherer Blick darauf, dass die Beurteilungen gefälscht sein könnten.

Die Analyse der Kampagne ergab, dass die Apps eine bösartige Payload platzieren, die auf die bekannte Banking Malware Anubis (Trend Micro erkennt sie als ANDROIDOS_ANUBISDROPPER) zurückgeführt werden kann, denn die analysierten Samples weisen starke Ähnlichkeiten zueinander auf. Auch verbindet sich die Malware mit einem Command-&-Control (C&C)-Server in der Domäne aserogeege.space, die auch mit Anubis in Verbindung steht.

Weitere 18 bösartige Domänen lassen sich der IP-Adresse 47.254.26.2 zuschreiben und Anubis nutzt die Unterpfade dieser Domänen. Die Domänen ändern die IP-Adressen ziemlich häufig und Die Malware könnte sie seit Oktober 2018 sechs Mal geändert haben – dies zeigt, wie aktiv die Kampagne ist.



Bild 1. Bilder der bösartigen Apps in Google Play

Wie die Apps ihre Entdeckung verhindern

Die Apps nutzen nicht nur traditionelle Vermeidungstechniken, sondern auch die Bewegungen des Nutzers und des Geräts.

Bewegt sich ein Nutzer, so generiert das Gerät üblicherweise auch eine gewisse Menge an Bewegungssensordaten. Der Malware-Entwickler ging davon aus, dass die Sandbox ein Emulator ist, der keine Bewegungssensoren umfasst und somit diese Art von Daten auch nicht erstellt. Auf diese Weise lässt sich feststellen, ob die App in einer Sandbox-Umgebung läuft oder nicht. Die bösartige App überwacht die Schritte des Nutzers über den Bewegungssensor des Geräts. Stellt sie fest, dass das Gerät sich nicht bewegt, so wird der bösartige Code auch nicht ausgeführt. Wird der Code ausgeführt, so versucht er, den Nutzer zum Herunterladen und Installieren seines Payload APK mit einem gefälschten System-Update zu bringen.


Bild 2. Fake System-Update

Eine der Möglichkeiten den bösartigen Server zu verstecken, ist dessen Codierung in Telegram- und Twitter-Webseitenanfragen. Der Banking-Malware Dropper startet eine Anfrage an Telegram oder Twitter, wenn er dem laufenden Gerät vertraut. Dann parst er den HTML-Inhalt der Antwort und erhält so den C&C-Server (aserogeege.space), wo er sich registriert und nach Befehlen sucht. Weitere technische Einzelheiten einschließlich solcher zur Anubis-Payload enthält der Originalbeitrag.

Fazit

Nutzer sollten jeder App misstrauen, die Bankdaten abfragt, und vor deren Angabe sicherstellen, dass es sich um eine App handelt, die legitime Verbindung zur eigenen Bank hat.

Trend Micro-Lösungen

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites.

Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Anwendungssicherheitslücken. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

Indicators of Compromise beinhaltet der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.