Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Android-Bankentrojaner Chameleon täuscht Nutzer

Cybersicherheitsexperten haben eine neue Technik enthüllt, die von den Angreifern hinter dem Android-Banking Trojaner "Chameleon" genutzt wird. Der Trick: Eine Software, die sich als Customer-Relationship-Management (CRM)-App ausgibt, soll potenzielle Opfer ködern.

Bedrohungen
Lesezeit 2 Min.

„Chameleon tarnt sich als CRM-App und greift eine international tätige kanadische Restaurantkette an“, berichtet das niederländische Sicherheitsunternehmen ThreatFabric in einem technischen Bericht. Die im Juli 2024 entdeckte Kampagne zielte auf Kunden in Kanada und Europa ab, was zeigt, dass sich die Angriffe von Australien nun auch auf Italien, Polen und Großbritannien ausweiten.

Die Verwendung von CRM-Themen für die schädlichen Apps deutet darauf hin, dass Kunden im Gastgewerbe und Mitarbeiter im B2C-Bereich im Visier stehen. Die Dropper-Artefakte sind so konzipiert, dass sie die eingeschränkten Einstellungen von Android 13 und späteren Versionen umgehen, um zu verhindern, dass nachinstallierte Apps gefährliche Berechtigungen anfordern (zum Beispiel Zugriff auf Bedienungshilfen). Diese Technik wurde zuvor von SecuriDroper und Brokewell verwendet.

Nach der Installation zeigt die App eine gefälschte Anmeldeseite für ein CRM-Tool an und gibt dann eine falsche Fehlermeldung aus, die die Opfer auffordert, die App neu zu installieren. Tatsächlich wird jedoch die Chameleon-Payload heruntergeladen. Anschließend wird erneut die gefälschte CRM-Webseite geladen, diesmal mit der Aufforderung, den Anmeldevorgang abzuschließen, nur um eine andere Fehlermeldung anzuzeigen, die besagt: „Ihr Konto ist noch nicht aktiviert. Kontaktieren Sie die Personalabteilung.“

Chameleon ist in der Lage, betrügerische Aktivitäten auf dem Gerät selbst (ODF) durchzuführen und Geld der Nutzer zu stehlen. Zudem nutzt es Overlays und weitreichende Berechtigungen, um Zugangsdaten, Kontaktlisten, SMS-Nachrichten und Geolokationsinformationen zu sammeln.

„Wenn es den Angreifern gelingt, ein Gerät zu infizieren, das Zugriff auf Firmenbanking hat, erhält Chameleon Zugang zu Geschäftskonten und stellt ein erhebliches Risiko für das Unternehmen dar“, erklärte ThreatFabric. „Die erhöhte Wahrscheinlichkeit eines solchen Zugriffs bei Mitarbeitern, die CRM nutzen, ist wahrscheinlich der Grund für die Wahl dieser Tarnung in der jüngsten Kampagne.“

Diese Entwicklung folgt auf eine detaillierte Untersuchung von IBM X-Force zu einer lateinamerikanischen Banking-Malware-Kampagne, bei der die Gruppe CyberCartel Anmeldedaten und Finanzdaten stiehlt und mithilfe schädlicher Google Chrome-Erweiterungen einen Trojaner namens Caiman verbreitet.

„Das ultimative Ziel dieser Aktivitäten ist es, ein schädliches Browser-Plugin zu installieren und die Man-in-the-Browser-Technik zu nutzen“, so IBM Security Lab. „Dies ermöglicht es den Angreifern, sensible Bankinformationen sowie andere relevante Daten wie kompromittierte Geräteinformationen und Screenshots illegal zu sammeln. Updates und Konfigurationen werden von den Angreifern über einen Telegram-Kanal verbreitet.“

Diesen Beitrag teilen: