Banking-, Social-Media- und andere Apps im Visier der BlackRock-Malware

Eine neue Banking-Malware breitet sich gerade auf Android-Geräten aus. Sie nutzt den Quellcode der inzwischen funktionsuntüchtigen Malware Xerxes und eine noch älteren Variante namens LokiBot. Mit der Malware nehmen die Hacker Apps ins Visier, die in anderen Malware-Kampagnen bereits manipuliert wurden.

Betriebssysteme entwickeln sich ständig weiter, aber genau das tun auch Banking-Trojaner, die sich auf diesen Systemen einnisten möchten. Wenn Trojaner innerhalb von Apps versteckt werden, werden sie meist entdeckt, bevor Sie über offizielle App Stores verbreitet werden können. Deshalb bieten Cyberkriminelle sie meist über inoffizielle App Stores und zwielichtige Websites an.

Wenn eine neue Android-Version veröffentlicht wird, funktioniert die alte Malware nicht mehr. Also tauchen neue Versionen auf, die meist auf altem Code aufbauen. Die aktuelle BlackRock-Variante z. B. nutzt Code-Elemente, die zum Teil 4 Jahre alt sind.

ThreatFabric hat untersucht, wie sich BlackRock verhält, wenn die Malware ein Gerät infiziert hat. Wie erwartet können sämtliche Daten manipuliert werden.

„Wenn die Malware zum ersten Mal auf dem Gerät ausgeführt wird, versteckt Sie als erstes das App-Icon, damit der Benutzer sie nicht bemerkt“, so die Malware-Experten. „Als nächstes bittet die App den Benutzer, ihr Rechte für die Android-Bedienungshilfen zu gewähren. Häufig ta sie sich als Google-Update.“

Die Bedienungshilfefunktion unter Android hat einen völlig anderen Zweck, aber sie ist sehr umfassend und wird folglich oft von Malware-Autoren eingesetzt, um sich die nötigen Berechtigungen zu verschaffen.

BlackRock kann SMS versenden, SMS-Kopien persönlicher E-Mails an Control-and-Command-Center versenden, Apps beim Hochfahren starten, Geräte dazu zwingen durchgehend den Startbildschirm anzuzeigen, ein Geräteadministratorenprofil für die App hinzuzufügen und Vieles mehr.

Da es sich um einen Banking-Trojaner handelt, wird er versuchen, Kreditkartendaten und Banking-Passwörter abzugreifen – entweder durch Form-Grabbing oder mit App-spezifischen Phishing-Overlays. Die Malware leitet den Benutzer zu lokal gespeicherten Dateien anstatt zur Online-Version, und im Anschluss werden die Daten an das C&C-Center übermittelt.

Viele Apps, die von der Malware infiziert werden, haben mit Finanzen gar nichts zu tun, sondern sind Social-Media-, Kurznachrichten- oder Dating-Apps. Hier können viele Daten abgegriffen werden, die wiederum in anderen Kampagnen nützlich sein können.

Unter den anvisierten Zielen sind hauptsächlich europäische Banken und Benutzer, gefolgt von australischen und nordamerikanischen.

Achten Sie immer darauf, Android-Apps nur aus offiziellen Quellen zu installieren, und installieren Sie auf jeden Fall eine Cybersicherheits-App.

rn