Deutsche Anwender im Visier von Mobile-Banking-Malware getarnt als PayPal App

Originalbeitrag von Seven Shen (Mobile Threats Analyst)

Mit Unterstützung von Joachim Capiral

Immer mehr Menschen nutzen Mobile Banking, deshalb ist es kein Wunder, dass Banktrojaner versuchen, die Nutzer anzugreifen. Wir haben Spam-Nachrichten beobachtet, die sich als Update-Benachrichtigungen für eine offizielle PayPal App ausgeben. Die Nachrichten fordern die Empfänger dazu auf, auf einen Link zu klicken, um das Update herunterzuladen. Blickt man auf die in den Spam-Nachrichten verwendete Sprache, scheinen Anwender in Deutschland das Ziel dieser Kampagne zu sein.

PayPal_1Abbildung 1: E-Mail mit Link auf das vermeintliche Update der PayPal App

Wie bei allen Spam-Kampagnen üblich, werden die Nachrichten auch in diesem Fall von verschiedenen IP-Adressen in mehreren Ländern aus an die anvisierten Empfänger in Deutschland geschickt. 41 Prozent der Absender finden sich in Vietnam, der Rest in der Ukraine, Russland, Brasilien und Indien. Einige Exemplare der Nachricht wurden über 14.000-mal verschickt.

Der Link in diesen Nachrichten verweist auf einen mobilen Online-Banking-Trojaner, der es auf mehrere Banken und Finanzinstitute abgesehen hat. Diese bösartige App wird nicht in Google Play gehostet. Neben PayPal gehören Apps bekannter europäischer Banken zu den Zielen der Angreifer. Die Namen dieser Banken wurden in den Konfigurationsdateien gefunden, die von der bösartigen App heruntergeladen wurden. Trend Micro identifiziert den Trojaner als AndroidOS_Marchcaban.HBT.

Wenn ein Anwender die App herunterlädt und installiert, bittet sie zuerst um die Berechtigung, als „Device Administrator“ zu fungieren. Dies würde es der App ermöglichen, als Systemadministrator zu agieren. Wir haben diese Methode schon bei anderer Android-Malware beobachtet. Sie dient dazu, die App gleichsam unsichtbar zu machen und ihre Beseitigung zu erschweren.

Die App fragt auch nach anderen Berechtigungen, z. B. zum Ändern des Passworts für die Bildschirmsperre, für das Setzen von Passwortregeln, das Sperren des Bildschirms und Verschlüsseln der gespeicherten Anwendungsdaten – alles rote Flaggen, die anzeigen, dass es sich hierbei nicht um eine legitime, sondern eine bösartige App handelt.

PayPal_2Abbildung 2: Die bösartige App auf dem Hauptbildschirm nach der Installation

PayPal_3Abbildung 3: Die bösartige App fragt nach Rechten eines Geräteadministrators

Selbst wenn der Anwender die geforderten Privilegien des Geräteadministrators verweigert, verschwindet die bösartige App vom Hauptbildschirm, läuft aber weiterhin im Hintergrund. Sie wird auch vom Startbildschirm ausgeblendet, so dass es fast unmöglich ist, mit ihr zu interagieren und sie zu entfernen.

PayPal_4Abbildung 4: Code zum Entfernen der App vom Startbildschirm

Der Hintergrundservice überwacht ferner die Aktivitäten auf dem infizierten mobilen Gerät. Das bedeutet, sie weiß, welche App gerade läuft. Dadurch ist die bösartige App in der Lage, die Benutzeroberfläche zu kapern.

PayPal_5Abbildung 5: Code zur Überwachung der aktiven Apps

Sobald die Malware feststellt, dass die echte PayPal App läuft, platziert sie eine gefälschte Oberflächenanzeige anstelle der echten. Dadurch übernimmt sie die Sitzung und stiehlt die PayPal-Zugangsdaten des betroffenen Anwenders.

PayPal_6Abbildung 6: Code zur Übernahme der Bildschirmanzeige

Darüber hinaus fängt der Schädling SMS-Nachrichten ab und filtert sie, um die Anwender am Empfang von Nachrichten zu hindern, die ihnen einen Hinweis darauf geben könnten, dass sich die App auf ihren mobilen Geräten befindet.

PayPal_7Abbildung 7: Bösartiger Code zum Abfangen und Filtern von SMS-Nachrichten

Ferner kann die Malware Anrufe tätigen, und zwar nach Maßgabe von Befehlen in empfangenen SMS-Nachrichten.

PayPal_8Abbildung 8: Bösartiger Code zum Starten der Anrufoberfläche auf Basis empfangener Befehle

Neben PayPal hat es der Code auch auf Benutzer anderer Banking Apps wie etwa von der Commerzbank abgesehen.

PayPal_9Abbildung 9: Code mit Bezug zur Commerzbank App

Wir haben mehr als 200 bösartige Apps gezählt, die alle zu dieser speziellen Malware-Familie gehören. Sie tragen unterschiedliche Bezeichnungen und einige davon haben nichts mit Banken zu tun. Stattdessen geben sie sich als Flash Player Apps, Spiele oder sogar als Apps für Erwachsene aus.

Um eine Infektion mit dieser besonders hinterhältigen App zu vermeiden, genügt es, ein paar Verhaltensregeln zu beherzigen:

·        Befassen Sie sich niemals mit verdächtig aussehenden E-Mail- oder Spam-Nachrichten, vor allem dann nicht, wenn Sie dazu aufgefordert werden, etwas herunterzuladen, zu öffnen oder anzuklicken

·        Laden Sie Apps stets nur von Herstellerquellen oder offiziellen App Stores herunter. Im Standard verbietet Android das Herunterladen von Apps aus anderen Quellen als Google Play. Sie sollten diese Einstellung nur dann ändern, wenn Sie genau wissen, was Sie tun

·        Überprüfen Sie stets die Berechtigungen, nach denen eine App fragt, bevor Sie sie gewähren. Wenn zu viele Berechtigungen verlangt werden oder Sie im Zweifel sind, lehnen Sie die Anfrage ab

·        Installieren Sie eine Sicherheitslösung auf Ihrem mobilen Gerät, um sich gegen Malware wie diese zu schützen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*