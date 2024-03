Sicherheitsforscher haben eine neue Version des Vultur-Banking-Trojaners für Android entdeckt. Der Trojaner nutzt dabei erweiterte Fernsteuer­ungs­funktionen und einen verbesserten Umgehungs­mechanismus - und tarnt sich als Security-App.

portal gda / Flickr

Trojaner schützt sich vor Entdeckung

Die neue Infektionskette

Sicherheitsexperten von ThreatFabric dokumentierten die Malware erstmals im März 2021. Die Bedrohung an sich ist also nicht neu - der Trojaner lernt nur immer neue Tricks, mit denen er sich vor der Entdeckung auf Android-Smartphones schützt (via Bleeping Computer ).Ende 2023 nahm Zimperium, eine Plattform für mobile Sicherheit , Vultur in ihre Top 10 der aktivsten Banking-Trojaner des Jahres auf und stellte fest, dass neun bekannte Varianten der Malware 122 Banking-Apps in 15 Ländern angriffen. Es wird stetig vor der Gefahr gewarnt, doch die Hinterleute sind schneller dabei, ihre Umgehungsmechanismen zu verbessern, als das Security-Tool greifen können.Eine neuer Trick ist, dass Opfer über Smishing (SMS-Phishing) dazu gebracht werden, eine Version der Malware zu installieren, die sich als McAfee Security-App tarnt. Dabei wird suggeriert, dass auf dem Smartphone Schadsoftware entdeckt wurde, die nun mithilfe der angeblichen McAfee Security-App getilgt werden soll.Nutzer, die darauf hereinfallen, holen sich mit der angeblichen McAfee Security-App dann aber erst den Trojaner auf ihr Gerät. Der so verbreitete Schadcode ist gleich in mehrfacher Hinsicht gefährlich. Laut den Wissenschaftler ermöglicht der Trojaner Bildschirmaufzeichnung, Keylogging und allgemeinen Fernzugriff.Die neueste Infektionskette von Vultur beginnt damit, dass das Opfer eine SMS-Nachricht erhält, in der es vor einer nicht autorisierten Transaktion gewarnt und angewiesen wird, eine Nummer anzurufen, um Hilfe zu erhalten.Der Anruf wird von einem Betrüger entgegengenommen, der das Opfer überredet, einen Link zu öffnen, der mit einer zweiten SMS ankommt. Dort wird dann eine manipulierte Version der McAfee Security-App angeboten.Im Inneren der trojanisierten McAfee Security-App befindet sich der Malware-Dropper "Brunhilda". Nach der Installation entschlüsselt die App drei Vultur-bezogene Nutzdaten, die Zugriff auf die Zugangsdienste erhalten, die Fernsteuerungssysteme initialisieren und eine Verbindung mit dem Command-and-Control-Server (C2) herstellen.Die Forscher stellen fest, dass sich die Entwickler von Vultur offenbar darauf konzentriert haben, die Fernsteuerungsfunktion über infizierte Geräte mit Befehlen für das Scrollen, Wischgesten, Klicks, die Lautstärkeregelung und das Blockieren der Ausführung von Anwendungen zu verbessern.Um das Risiko von Malware-Infektionen auf Android zu minimieren, wird Nutzern empfohlen, Apps nur von seriösen Anbietern herunterzuladen, z. B. dem offiziellen Android-App-Store Google Play, und nicht auf URLs in Nachrichten zu klicken.