Everpedia, Wikimedia Commons
Während mobile Android-Geräte mit einer sicheren gesperrten Version des Linux-Kernels betrieben werden, haben Sicherheitsexperten jetzt einen weiteren Trojaner gefunden, der sich auf das weit verbreitete Betriebssystem auswirkt. Von Experten, die mit ThreatFabric arbeiten, MysteryBot genannt, scheint es Geräte mit Android 7 und 8 anzugreifen.
In gewisser Weise ähnelt MysteryBot der früheren LokiBot-Malware. Die Forscher von ThreatFabric analysierten den Code beider Trojaner und stellten fest, dass höchstwahrscheinlich eine Verbindung zwischen den Erstellern beider Trojaner besteht. Sie gingen so weit zu sagen, dass MysteryBot auf LokiBots Code basiert.
Es sendet sogar Daten an denselben C & C-Server, der einst in einer LokiBot-Kampagne verwendet wurde, was darauf hindeutet, dass sie von denselben Organisationen entwickelt und bereitgestellt wurden.
Wenn dies tatsächlich der Fall ist, könnte dies daran liegen, dass der Quellcode von LokiBot vor einigen Monaten ins Internet gelangt ist. Dies unterstützte Sicherheitsexperten, die in der Lage waren, einige Abhilfemaßnahmen dafür zu entwickeln.
MysteryBot hat einige Eigenschaften, die es wirklich von anderen Arten von Android-Banking-Malware abheben. Beispielsweise können zuverlässig Overlay-Bildschirme angezeigt werden, die die Anmeldeseiten legitimer Apps nachahmen. Die Ingenieure von Google haben Sicherheitsfunktionen entwickelt, die verhindern, dass Malware Overlay-Bildschirme auf Android 7- und 8-Geräten auf konsistente Weise anzeigt.
Infolgedessen zeigten andere Banking-Malware-Infektionen die Overlay-Bildschirme zu ungeraden Zeiten, da sie nicht erkennen konnten, wann Benutzer Apps auf ihrem Bildschirm betrachteten. MysteryBot missbraucht die Berechtigung zum Nutzungszugriff, mit der normalerweise Statistiken zu einer App angezeigt werden. Indirekt werden Details darüber preisgegeben, welche App derzeit auf der Vorderseite der Benutzeroberfläche angezeigt wird.
Es ist unklar, welchen Einfluss MysteryBot auf Lollipop- und Marshmallow-Geräte hat. Dies dürfte in den kommenden Wochen zu interessanten Untersuchungen führen, da diese Geräte nicht unbedingt über alle diese Sicherheitsupdates verfügen.
Durch die Ausrichtung auf über 100 beliebte Apps, darunter viele außerhalb der Welt des mobilen E-Banking, kann MysteryBot Anmeldedaten auch von gefährdeten Benutzern abrufen, die ihre Smartphones nicht so häufig verwenden. Es scheint jedoch nicht im Umlauf zu sein.
Wenn Benutzer eine Taste auf der berührungsbasierten Tastatur drücken, zeichnet MysteryBot außerdem die Position der Berührungsgeste auf und versucht dann, die Position der virtuellen Taste, die sie eingegeben haben, anhand von Vermutungen zu triangulieren.
Während dies den vorherigen Screenshot-basierten Android-Keyloggern um Lichtjahre voraus ist, arbeiten Sicherheitsexperten bereits intensiv an der Entwicklung einer Schadensbegrenzung.
Stichworte Android-Sicherheit
