Topthemen

Neue Android-Banking-Malware übernimmt aus der Ferne die Kontrolle

AndroidPIT virus 3
© nextpit
Dieser Beitrag ist von unserem Partner:

Sicherheitsforscher warnen vor einer neuen Android-Banking-Malware namens Octo. Dieser Trojaner ist so ausgeklügelt, dass er unter anderem SMS zur Legitimation von Banking-Vorgängen abfängt und sich selbst vor der Entdeckung versteckt.

Der Android-Trojaner Octo wurde nun durch die Forscher von ThreatFabric genauer beschrieben. Octo ist dabei ExoCompact basiert, eine recht bekannte Malware-Variante, die seit 2018 bekannt ist. Octo ist dagegen noch ganz neu und die ersten Kampagnen, in denen der Trojaner eingesetzt wurde, sind aus diesem Jahr. Laut ThreatFabric haben sie den Trojaner in freier Wildbahn erwischt, wie er über eine Fernzugriffsfunktion diverse Aktionen auf den Smartphones seiner Opfer ausführte. 

Die wichtigste Neuerung von Octo im Vergleich zu den Vorgängern ist dabei eben genau das fortschrittliche Fernzugriffsmodul, mit dem Bedrohungsakteure sogenannte On-Device-Fraud (ODF) durchführen können, indem sie das kompromittierte Android-Gerät aus der Ferne steuern.

Der Fernzugriff wird durch ein Live-Bildschirm-Streaming-Modul über die MediaProjection von Android und durch Fernaktionen über den Accessibility Service ermöglicht. Octo verwendet dazu ein schwarzes Bildschirm-Overlay, um seine Aktionen vor den Blick des Opfers zu verbergen. Der Trojaner setzt die Bildschirmhelligkeit auf Null und deaktiviert alle Benachrichtigungen, indem es den Modus "Keine Unterbrechung" aktiviert. So sieht es für das Opfer so aus, als sei sein Smartphone inaktiv, in Wirklichkeit kann aber so einiges unbemerkt ablaufen. 

Keylogger mit Fernzugriff

Dadurch, dass das Gerät scheinbar ausgeschaltet ist, kann die Malware verschiedene Aufgaben ausführen, ohne dass das Opfer davon weiß. Zu diesen Aufgaben gehören Gesten, Schreiben von Text, Ändern der Zwischenablage, Einfügen von Daten und Scrollen nach oben und unten und das Übertragen von Daten. Neben dem Fernzugriffssystem verfügt Octo auch über einen leistungsstarken Keylogger. Daher sind eingegebene PINs und Passwörter stark gefährdet. 

Octo unterstützt eine umfangreiche Liste von Befehlen, von denen die wichtigsten sind:

  • Push-Benachrichtigungen von bestimmten Anwendungen blockieren
  • Aktivieren des Abfangens von SMS
  • Deaktivieren des Tons und vorübergehendes Sperren des Bildschirms des Geräts
  • Starten einer bestimmten Anwendung
  • Fernzugriffssitzung starten/beenden
  • Öffnen einer bestimmten URL
  • Senden einer SMS mit einem bestimmten Text an eine bestimmte Rufnummer

"Angesichts der Fakten kommen wir zu dem Schluss, dass ExobotCompact in den Android-Bankentrojaner Octo umbenannt wurde und von seinem Besitzer ‚Architect', auch bekannt als ‚Goodluc', gemietet wird. ThreatFabric verfolgt diese Variante als ExobotCompact.D", so die Schlussfolgerung von Threat Fabric in ihrem Bericht. 

Der Trojaner verbreitet sich dabei über den Google Play Store. Zu den jüngsten Apps, von denen bekannt ist, dass sie mit Octo infiziert wurden, gehört eine Anwendung namens "Fast Cleaner". Die App wurde mittlerweile aus dem Store entfernt, hatte aber bis dahin rund 50.000 Downloads. Trojaner mit Fernzugriffsmodulen kommen immer häufiger vor und machen robuste Maßnahmen zum Schutz von Konten, wie z. B. Zwei-Faktor-Codes, obsolet, da der Bedrohungsakteur das Gerät und die eingeloggten Konten vollständig kontrolliert. 

Quelle: ThreatFabric

Die besten Smartphones bis 500 Euro

  Redaktionsempfehlung Beste Alternative Bestes Kamera-Smartphone Bester Software-Support Bestes Preis-Leistungs-Verhältnis Beste Performance
Produkt
Abbildung Xiaomi Redmi Note 13 Pro+ 5G Product Image Nothing Phone (1) Product Image Google Pixel 7 Product Image Samsung Galaxy A54 Product Image Motorola Edge 40 Neo Product Image Xiaomi Poco F5 Pro Product Image
Bewertung
Bewertung: Xiaomi Redmi Note 13 Pro+ 5G
Bewertung: Nothing Phone (1)
Bewertung: Google Pixel 7
Bewertung: Samsung Galaxy A54
Bewertung: Motorola Edge 40 Neo
Bewertung: Xiaomi Poco F5 Pro
Zum Angebot*
Zu den Kommentaren (2)

Dieser Inhalt kommt von unserem Partner WinFuture und ist am 2022-04-10 unter dem Titel erschienen. Hat er euch gefallen? Dann schaut doch bei unseren lieben Kollegen von WinFuture vorbei und findet weitere großartige Inhalte wie diesen!

Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
2 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 62
    René H. 11.04.2022 Link zum Kommentar

    Das ist einer der Gründe, weshalb ich "Alles mit einem Gerät" nicht mag.

    AntiapplerMichael K.McTweetrolli.kAlfred


    • 70
      Michael K. 11.04.2022 Link zum Kommentar

      Wenn der Nutzer sich die SMS mit dem Code zur Zweifaktor-Authorisierung auf das selbe Gerät schicken lässt, von dem aus er die Banking-Software (oder jede beliebige andere Zugangsmethode mit 2FA) bedient, so hebelt er diesen Sicherheitsmechanismus schon selber aus, denn wenn einem Dieb ein entsperrtes Gerät in die Hände fällt, braucht er nur noch einen Faktor, z.B. ein Passwort zu überwinden, der zweite Faktor wird ihm quasi per SMS frei Haus geliefert. Die SMS gilt zwar dafür ohnehin als veraltet, aber mit einem Authenticator auf dem selben Gerät ist es ja nicht anders..
      Der zweite Faktor sollte grundsätzlich durch ein anderes Gerät übermittelt oder erzeugt werden.
      Das schränkt die mobile Nutzung von Software oder Portalzugängen mit 2FA zwar stark ein, macht aber ganz wesentlich deren Sicherheit aus.
      Ich habe aber auch noch nie eine Notwendigkeit gesehen, Bankgeschäfte oder Amazon-Bestellung vom Smartphone aus zu erledigen, und auch der Authenticator ist nicht auf dem Smartphone installiert.

      AntiapplerGelöschter AccountGelöschter Account

VG Wort Zählerpixel