Android-Malware erlaubt remote-Steuerung von Android-Geräten
Eine neue Variante des Banking-Trojaners Copybara verbreitet sich aktuell über Phishing-Angriffe auf Android-Smartphones und -Tablets.
(Bild: Balefire / Shutterstock.com)
Neue Varianten der Copybara-Malware verbreiten sich aktuell weltweit auf Android-Geräten. Die Malware nutzt den Accessibility-Service von Android aus, um infizierte Geräte zu manipulieren. Der Android-Accessibility-Service ist ein Framework, das die Entwicklung von Funktionen wie Bildschirmlupen, Sprachsteuerung, Gestensteuerung und Schaltersteuerung ermöglicht. Diese Dienste unterstützen Nutzer mit Seh-, Hör- oder Mobilitätseinschränkungen durch alternative Interaktionsmethoden.
Die Basis dieser neuen Malware baut auf dem bekannten Copybara-Trojaner auf, der seit 2021 aktiv ist. Der Trojaner hat nichts mit dem gleichnamigen Open-Source-Tool zu tun, was zum Kopieren von Repositories verwendet wird. Wie das Portal Cybersecuritynews berichtet, wurde die neue Variante erstmals im November 2023 bemerkt und analysiert. Dabei zeigte es sich, dass der neue Trojaner erheblich weiterentwickelt wurde und nun über diverse neue Funktionen verfügt. So zählen jetzt Keylogging, das Abfangen von SMS-Nachrichten, die Screenshot-Anfertigung und Weiterleitung sowie der Diebstahl von Anmeldeinformationen sowie die Möglichkeit, Android-Geräte remote zu steuern zu den Features. Dabei nutzt die Schadsoftware das MQTT-Protokoll, um Steuerungsbefehle zu übermitteln.
Verbreitung über unsichere Downloads
Die Verbreitung erfolgt durch Installation von manipulierten Apps, die dann Schadcode nachladen. Über gezielt ausgespähte Kontaktdaten versuchen Cyberkriminelle dabei, potenzielle Opfer durch SMS-Phishing (Smishing) oder Voice-Phishing (Vishing) dazu zu bringen, den Schadcode zu installieren. Entsprechende Downloadseiten tarnen die Malware auch als Erweiterung für Google Chrome oder IPTV-Service-App, um Opfer zu einer unbedachten Installation zu verleiten. Sicherheitsexperten warnen generell davor, Apps von unbekannten Webseiten oder Quellen außerhalb geprüfter AppStores zu laden. Dabei ist es nicht schwer, sich vor Malware zu schützen, wie dieser Beitrag auf heise online beschreibt.
In letzter Zeit wurden Copybara-Malware-Attacken in Zusammenhang mit Finanzbetrug beobachtet, wobei diese Malware unter Einsatz des B4A-Framework (Basic4Android) entwickelt worden sein soll. Die App tarnt sich dabei als reguläre Finanz-App und lockt die Opfer auf vorbereitete Phishing-Seiten, die auf Kryptowährungsbörsen und Finanzinstitute abzielen. Dabei sind diese Seiten optisch kaum vom Original zu unterscheiden und haben das Ziel, Kontoverbindungen und persönliche Daten der Opfer abzugreifen oder Überweisungen umzuleiten.
(usz)
