Neue Android-Banking-Malware übernimmt aus der Ferne die Kontrolle
Der Android-Trojaner Octo wurde nun durch die Forscher von ThreatFabric genauer beschrieben. Octo ist dabei ExoCompact basiert, eine recht bekannten Malware-Variante, die seit 2018 bekannt ist. Octo ist dagegen noch ganz neu und die ersten Kampagnen, in denen der Trojaner eingesetzt wurde, sind aus diesem Jahr. Laut ThreatFabric haben sie den Trojaner in freier Wildbahn erwischt, wie er über eine Fernzugriffsfunktion diverse Aktionen auf den Smartphones seiner Opfer ausführte.
Die wichtigste Neuerung von Octo im Vergleich zu den Vorgängern ist dabei eben genau das fortschrittliche Fernzugriffsmodul, mit dem Bedrohungsakteure sogenannte On-Device-Fraud (ODF) durchführen können, indem sie das kompromittierte Android-Gerät aus der Ferne steuern. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Der Fernzugriff wird durch ein Live-Bildschirm-Streaming-Modul über die MediaProjection von Android und durch Fernaktionen über den Accessibility Service ermöglicht. Octo verwendet dazu ein schwarzes Bildschirm-Overlay, um seine Aktionen vor den Blick des Opfers zu verbergen. Der Trojaner setzt die Bildschirmhelligkeit auf Null und deaktiviert alle Benachrichtigungen, indem es den Modus "Keine Unterbrechung" aktiviert. So sieht es für das Opfer so aus, als sei sein Smartphone inaktiv, in Wirklichkeit kann aber so einiges unbemerkt ablaufen.
Octo unterstützt eine umfangreiche Liste von Befehlen, von denen die wichtigsten sind:
"Angesichts der Fakten kommen wir zu dem Schluss, dass ExobotCompact in den Android-Bankentrojaner Octo umbenannt wurde und von seinem Besitzer ‚Architect', auch bekannt als ‚Goodluc', gemietet wird. ThreatFabric verfolgt diese Variante als ExobotCompact.D", so die Schlussfolgerung von Threat Fabric in ihrem Bericht.
Der Trojaner verbreitet sich dabei über den Google Play Store. Zu den jüngsten Apps, von denen bekannt ist, dass sie mit Octo infiziert wurden, gehört eine Anwendung namens "Fast Cleaner". Die App wurde mittlerweile aus dem Store entfernt, hatte aber bis dahin rund 50.000 Downloads. Trojaner mit Fernzugriffsmodulen kommen immer häufiger vor und machen robuste Maßnahmen zum Schutz von Konten, wie z. B. Zwei-Faktor-Codes, obsolet, da der Bedrohungsakteur das Gerät und die eingeloggten Konten vollständig kontrolliert.
Siehe auch:
Die wichtigste Neuerung von Octo im Vergleich zu den Vorgängern ist dabei eben genau das fortschrittliche Fernzugriffsmodul, mit dem Bedrohungsakteure sogenannte On-Device-Fraud (ODF) durchführen können, indem sie das kompromittierte Android-Gerät aus der Ferne steuern. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Der Fernzugriff wird durch ein Live-Bildschirm-Streaming-Modul über die MediaProjection von Android und durch Fernaktionen über den Accessibility Service ermöglicht. Octo verwendet dazu ein schwarzes Bildschirm-Overlay, um seine Aktionen vor den Blick des Opfers zu verbergen. Der Trojaner setzt die Bildschirmhelligkeit auf Null und deaktiviert alle Benachrichtigungen, indem es den Modus "Keine Unterbrechung" aktiviert. So sieht es für das Opfer so aus, als sei sein Smartphone inaktiv, in Wirklichkeit kann aber so einiges unbemerkt ablaufen.
Keylogger mit Fernzugriff
Dadurch, dass das Gerät scheinbar ausgeschaltet ist, kann die Malware verschiedene Aufgaben ausführen, ohne dass das Opfer davon weiß. Zu diesen Aufgaben gehören Gesten, Schreiben von Text, Ändern der Zwischenablage, Einfügen von Daten und Scrollen nach oben und unten und das Übertragen von Daten. Neben dem Fernzugriffssystem verfügt Octo auch über einen leistungsstarken Keylogger. Daher sind eingegebene PINs und Passwörter stark gefährdet.Octo unterstützt eine umfangreiche Liste von Befehlen, von denen die wichtigsten sind:
- Push-Benachrichtigungen von bestimmten Anwendungen blockieren
- Aktivieren des Abfangens von SMS
- Deaktivieren des Tons und vorübergehendes Sperren des Bildschirms des Geräts
- Starten einer bestimmten Anwendung
- Fernzugriffssitzung starten/beenden
- Öffnen einer bestimmten URL
- Senden einer SMS mit einem bestimmten Text an eine bestimmte Rufnummer
"Angesichts der Fakten kommen wir zu dem Schluss, dass ExobotCompact in den Android-Bankentrojaner Octo umbenannt wurde und von seinem Besitzer ‚Architect', auch bekannt als ‚Goodluc', gemietet wird. ThreatFabric verfolgt diese Variante als ExobotCompact.D", so die Schlussfolgerung von Threat Fabric in ihrem Bericht.
Der Trojaner verbreitet sich dabei über den Google Play Store. Zu den jüngsten Apps, von denen bekannt ist, dass sie mit Octo infiziert wurden, gehört eine Anwendung namens "Fast Cleaner". Die App wurde mittlerweile aus dem Store entfernt, hatte aber bis dahin rund 50.000 Downloads. Trojaner mit Fernzugriffsmodulen kommen immer häufiger vor und machen robuste Maßnahmen zum Schutz von Konten, wie z. B. Zwei-Faktor-Codes, obsolet, da der Bedrohungsakteur das Gerät und die eingeloggten Konten vollständig kontrolliert.
Siehe auch:
Kommentar abgeben
Netiquette beachten!
Beliebt im Preisvergleich
- cat umtsover:
Neue Android-Bilder
Android-Videos
-
Lenovo Tab M10 & M10 Plus Gen 3: Entertainment-Tablets im Test
-
Galaxy S23-Reihe: Die neuen Samsung-Smartphones im Hands-on
-
Galaxy S23 Ultra: Samsung zeigt die wichtigsten Neuerungen im Video
-
Samsung stellt im Video die neue Galaxy S23-Serie vor
-
Motorola ThinkPhone: Business-Smartphone im ThinkPad-Design
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote im Überblick
- GPT in Windows? Microsoft kommt Googles KI-Event überraschend zuvor
- Google stellt ChatGPT-Alternative Bard vor: Suche mit KI-Unterstützung
- Training mit geklauten Bildern: Getty Images verklagt KI-Anbieter
- BMW i4: Updates nicht möglich, wenn das Auto im Steilen geparkt ist
- Bill Gates fordert den massiven Ausbau von Hochspannungsleitungen
- Neu auf Netflix: Das sind die neuen Filme & Serien im Februar 2023
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen