Android-Malware beim Stehlen von Google Authenticator Codes erwischt

Im Darknet ist eine überarbeitete Version der Banking-Malware Aberebot aufgetaucht, die Android-Smartphone infiziert. Der Trojaner wird jetzt als "Escobar" angeboten und hat dabei ein paar Tricks dazugelernt, um seiner Entdeckung zu entgehen. Das berichtet das Online-Magazin Bleeping Computer. Es geht dabei um einen klassischen Banking-Trojaner, der sich auf Android-Nutzer spezialisiert hat und sich als McAfee-App getarnt hat. Experten von Malware-Hunter entdeckte die verdächtige APK erstmals Anfang März 2022 und warnten davor, dass die meisten Antivirenprogramme die App nicht als Schädling erkennen. Der aktuell im Umlauf befindliche Trojaner nennt sich "Escobar" und ist eine Weiterentwicklung von "Aberebot".

Bleeping Computer hat dann bei der Recherche zu dem Trojaner weitere Informationen ausgegraben. Unter anderem hatten sie ein Angebot des Malware-Entwicklers in einem Darknet-Forum entdeckt. Der vermietet die Beta-Version der Malware für 3.000 US-Dollar pro Monat an maximal fünf Kunden, wobei Bedrohungsakteure die Möglichkeit haben, den Bot drei Tage lang kostenlos zu testen. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing

Hacker räumen Konten per Überweisung leer

Wie die meisten Banking-Trojaner zeigt Escobar Overlay-Anmeldeformulare an, um die Benutzerinteraktionen mit E-Banking-Apps und -Websites zu kapern und die Anmeldedaten der Opfer zu stehlen. Das Hauptziel des Trojaners ist es, genügend Informationen zu stehlen, um den Bedrohungsakteuren zu ermöglichen, die Bankkonten der Opfer zu übernehmen und verfügbare Guthaben abzuschöpfen.

Escobar zeichnet sich dadurch aus, dass er nicht nur Tricks nutzt, um Daten zu stehlen, sondern auch um seiner Entdeckung zu entgehen und gleichzeitig die Betroffenen in Sicherheit zu wiegen. Die Malware fordert 25 verschiedene Berechtigungen an, von denen über die Hälfte für bösartige Zwecke missbraucht werden: Dazu gehören Audioaufzeichnung, SMS lesen, Speicher lesen/schreiben, Kontoliste abrufen, Tastensperre deaktivieren, Anrufe tätigen und Zugriff auf den Gerätestandort. Alles, was die Malware sammelt, wird übertragen, einschließlich SMS-Anrufprotokolle, Tastenprotokolle, Benachrichtigungen und Google Authenticator-Codes.

Mit dem Zugriff auf SMS und Google Authenticator können die Kriminellen dann jede Zwei-Faktor-Authentifizierung überwinden und ganz einfach die Kontrolle über das E-Banking übernehmen, um Konten per Überweisung leerzuräumen. Zu den neuen Funktionen des Trojaners gehört die Übernahme der Kontrolle über die infizierten Android-Geräte mithilfe von VNC, die Aufzeichnung von Audiodaten und die Aufnahme von Fotos sowie die Erweiterung der Zielanwendungen für den Diebstahl von Zugangsdaten.

Es ist noch zu früh, um zu sagen, wie populär die neue Escobar-Malware werden wird. Nutzer sollten beim Download von Apps einfach immer darauf achten, nur vertrauenswürdige Quellen zu nutzen. Nach der Installation muss auf ungewöhnliche Anfragen nach Berechtigungen geachtet und die Batterie- und Netzwerkverbrauchsstatistiken der App überwacht werden, um verdächtige Muster erkennen zu können. Zudem sollte Google Play Protect auf dem Gerät aktiviert sein.

Siehe auch: