Banking-Trojaner: 400 Einrichtungen im Visier von Android-Malware

IT-Sicherheitsforscher von Threatfabric haben aktuelle Varianten des Android-Banking-Trojaners Xenomorph untersucht. Der Schädling kann inzwischen mehr als 400 Finanzinstitutionen von Banken bis Krypto-Wallet-Anbieter an- und Geld von dort ab-greifen.

Wie die IT-Forscher beobachtet haben, professionalisieren die kriminellen Drahtzieher der "Hadoken Security Group", die Xenomorph V3 im Geschäftsmodell MaaS (Malware-as-a-Service) anbieten, den Banking-Trojaner zunehmend. Sie unterließen die zunächst rudimentären Versuche, um eine verfeinerte und professionellere Philosophie zu verfolgen, schreibt Threatfabric.

Xenomorph: Langsame Entwicklung

Seit Februar 2022 sei die Malware-Familie in Entwicklung. Sie wurde lediglich in kleinen Kampagnen verteilt und hatte bislang noch nie größere Verbreitung wie andere Android-Malware erreicht. Dies liege auch daran, dass die Drahtzieher nur kurze und beschränkte Kampagnen zur Verteilung angestrengt hätten. Dabei seien zwei unterschiedliche Malware-Dropper zum Einsatz gekommen. Die IT-Forscher sehen die kurzen Kampagnen als Hinweis, dass es sich um Testläufe gehandelt habe und nicht um weitflächige Verteilung mit betrügerischen Absichten.

Threatfabric orakelt, dass es mit den ruhigen und beschaulichen Versuchen bald vorbei sein könnte. Die neu entdeckte Variante Xenomorph V3, die Threatfabric Xenomorph.C nennt, füge dem bereits mit vielen Funktionen ausgestatteten Android-Banking-Trojaner viele neue Fähigkeiten hinzu. Am Bemerkenswertesten sei die Laufzeit-Engine, die auf die Accessibility-Services aufsetze und zahlreiche Funktionen automatisiere. Damit sei Xenomorph in der Lage, die komplette "Betrugskette" von der Infektion bis zum Exfiltrieren von Guthaben zu automatisieren und stelle damit eine der derzeit fortschrittlichsten und gefährlichsten Android-Trojaner dar.

Die Liste der Institutionen im Visier der Malware bestehe aus mehr als 400 Bank- und Finanz-Einrichtungen auf allen Kontinenten, darunter zudem Krypto-Wallets – sechsmal mehr als noch in den Vorgängervarianten. Die IT-Forscher haben auf der Webseite zu dem Trojaner – sie ist derzeit allerdings nicht erreichbar – Werbung für Xenomorph entdeckt. Die deutet klar auf den Einstieg in die Malware-as-a-Service-Landschaft und den Beginn einer großflächigen Verteilung.

Malware-Verbreitung

Xenomorph habe etwa das Discord Content Delivery Network (CDN) zur Verteilung missbraucht, schreiben die IT-Sicherheitsforscher. Dies sei nicht unüblich: Die Dienste würden von Millionen Menschen genutzt und die Kontenerstellung sei kostenlos, es lasse sich Malware verteilen, und auch die Anzahl der Konten ist nicht begrenzt. Zudem ist es üblich, dass Geräte sich mit diesen Diensten verbinden, sodass Sicherheitssoftware bei Verbindungen dorthin kaum Verdacht schöpfe.

Von Anfang an setze Xenomorph auf das Sammeln sensibler persönlicher Informationen. Mittels Overlay-Angriffen sammele der Trojaner Zugangsdaten wie Nutzernamen und Passwörter ein. Die initial recht kurze Liste an Zielen sei jedoch inzwischen stark auf das Sechsfache der ersten Versionen angewachsen. Die Meldung von Threatfabric erläutert die einzelnen Funktionen, das Automatische-Transfer-System, Indicators of Compromise (IoCs) zum Erkennen von Infektionen sowie die Liste der angegriffenen Institutionen im Detail.

Ende vergangenen Jahres hatte Google gewarnt, dass Malware OEM-Plattform-Zertifikate zum Signieren missbrauchen könne. Der Schutzmechanismus Google Play Protect konnte diese Zertifikate jedoch erkennen und so Malware automatisch entfernen.

(dmk)