Mit Android hat Google weltweit das am meisten genutzte mobile Betriebssystem für Smartphone, Tablet und Co. entwickelt. Genau deshalb ist die Software aber auch so attraktiv für alle, die mittels betrügerischer Methoden Geld erbeuten wollen. Das zeigt die neu entdeckte Malware BingoMod.
Android: Vorsicht vor dieser Malware
Wie ein Team von Cleafy TIR berichtet, stieß man schon Ende Mai 2024 auf eine neue Android-Malware, die nach aktuellem Stand weiterhin aktiv ist. Dabei handelt es sich um einen sogenannten RAT, einen Fernzugriffstrojaner (Remote Access Trojaner), den Dritte verwenden, um volle Administratorrechte und die Fernsteuerung eines Zielgerätes zu erlangen.
Das Ziel der Malware, die die Sicherheitsforschenden als BingoMod bezeichnen, ist es, Geldtransfers ausgehend von den kompromittierten Geräten einzuleiten. Dabei kommt eine bereits bekannte Technik, On Device Fraud (ODF), zum Einsatz, die jene Gegenmaßnahmen von Banken umgeht, die die Identitätsüberprüfung und Authentifizierung der Benutzer*innen erzwingen und zur Verhaltenserkennung bei verdächtige Geldüberweisungen dienen.
Besonders riskant: Die Android-Malware ist so effektiv, dass sie Betroffenen pro Transfer einen Betrag von bis zu 15.000 Euro entwenden kann.
Lesetipp: Diese Android-Version steht vor dem Support-Aus
So arbeitet der Android-Trojaner
Um den Trojaner einzuschleusen, nutzen Kriminelle Smishing (SMS-Phishing). Dabei werden Zielpersonen per entsprechender Nachricht und unter dem Vorwand notwendiger Sicherheitsvorkehrungen dazu gebracht, eine bösartige App herunterzuladen und zu installieren.
Beispiele sind den Forschenden zufolge Anwendungen wie APP Protection, Antivirus Cleanup, Chrome Update, Infoweb, Sicurezzaweb, Websecurity, Websinfo, Webinfo und APKAPPSCUDO. Wer also eine SMS mit einer solchen oder ähnlichen Bitte erhält, sollte diese sofort löschen und die Nummer der Absenderin/ des Absender am besten direkt blockieren.
Gelangt BingoMod auf diesem Weg dennoch auf Handy und Co., nutzt die Malware verschiedene Berechtigungen, einschließlich der Zugriffsdienste, um unbemerkt sensible Informationen zu stehlen. Dazu zählen beispielsweise Anmeldedaten, SMS-Nachrichten und aktuelle Kontostände. Darüber hinaus ist sie mit Funktionen ausgestattet, die einen Fernzugriff ähnlich einer VNC (Virtual Network Computing)-Verbindung erlauben. Derartige Software zeigt den Bildschirminhalt eines entfernten Gerätes auf einem lokalen Gerät an und sendet umgekehrt Bedienungsbewegungen auf dem lokalen Gerät an das entfernte Gerät.
War ein Angriff erfolgreich, löschen die Kriminellen den Speicher des infizierten Android-Geräte. Das soll alle nachvollziehbaren Aktivitäten der Malware entfernen und so eine forensische Untersuchung erschweren. Zudem experimentieren die Entwickler*innen derzeit wohl weiter mit verschiedenen Verschleierungstechniken, um auch die Erkennung durch Antivirensoftware zu behindern.
Quellen: Cleafy
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.