Banking-Trojaner Antidot : Gefährliche Trojaner: Fake-Jobs als Malware-Falle
Cybersecurity-Experten haben eine mobile Phishing-Kampagne – sogenanntes Mishing – aufgedeckt. Mit einer perfiden Angriffskette aus gefälschten Job-Angeboten per E-Mail, manipulierten Webseiten und einer infizierten App wird eine aktualisierte Version des gefährlichen Banking-Trojaners Antidot verbreitet.
Die Angreifer gaben sich als Personalvermittler aus und köderten ihre Opfer mit angeblich attraktiven Jobangeboten, berichtet der Zimperium zLabs-Forscher Vishnu Pratapagiri. Im Rahmen eines gefälschten Bewerbungsprozesses wurden die Betroffenen dazu verleitet, eine bösartige App herunterzuladen. Diese Anwendung dient als Dropper – ein Werkzeug, das die aktualisierte Version des Banking-Trojaners Antidot auf den Geräten installiert.
Fake-Jobangebote
Die neue Version der Android-Malware, von Zimperium mit dem Namen AppLite Banker tituliert, verfügt über gefährliche Funktionen: Sie kann die Entsperr-PIN, Muster oder Passwörter ausspähen und ermöglicht es Angreifern, infizierte Geräte aus der Ferne zu kontrollieren. Eine ähnliche Technik wurde zuvor auch bei der Malware TrickMo beobachtet. Die Täter setzen auf ausgeklügelte Social-Engineering-Strategien, um ihre Opfer zu täuschen. So wird ein vermeintlich lukratives Jobangebot beworben, das etwa einen „wettbewerbsfähigen Stundensatz von 25 US-Dollar“ sowie hervorragende Aufstiegsmöglichkeiten verspricht.
In einem Reddit-Beitrag vom September 2024 berichteten mehrere Nutzer, sie hätten E-Mails von einem kanadischen Unternehmen namens Teximus Technologies erhalten, die ein angebliches Jobangebot für eine Remote-Kundendienststelle enthielten.
Sobald die Betroffenen mit dem vermeintlichen Anwerber Kontakt aufnehmen, werden sie dazu aufgefordert, eine manipulierte Android-App von einer Phishing-Website herunterzuladen. Diese App dient als Einstiegspunkt, um die eigentliche Malware auf dem Gerät zu installieren.
Laut Zimperium wurden mehrere gefälschte Domains entdeckt, über die die infizierten APK-Dateien verteilt werden. Diese Dateien tarnen sich als CRM-Apps (Customer Relationship Management), um glaubwürdig zu wirken und die Opfer zu täuschen.
Die Dropper-Apps nutzen verschiedene Techniken, um Sicherheitsmaßnahmen zu umgehen und einer Analyse zu entgehen. Sie manipulieren ZIP-Dateien und fordern die Opfer auf, sich für ein angebliches Konto zu registrieren. Zusätzlich werden die Nutzer dazu verleitet, die Installation von Android-Apps aus unbekannten Quellen zu erlauben. „Klickt der Benutzer auf die Schaltfläche ‚Update‘, erscheint ein gefälschtes Google-Play-Store-Symbol, das die Installation der Malware einleitet“, erklärt Vishnu Pratapagiri.
Wie frühere Versionen fordert auch diese bösartige App Berechtigungen für die Zugriffsdienste an. Sie missbraucht diese Rechte, um den Bildschirm zu überlagern und schädliche Aktivitäten auszuführen. Dazu gehört auch die Selbstvergabe weiterer Berechtigungen, um zusätzliche bösartige Operationen auf dem Gerät zu ermöglichen.
Funktionen und Ziele der Malware
Die neueste Version von Antidot verfügt über erweiterte Funktionen, die den Angreifern eine umfassende Kontrolle über infizierte Geräte ermöglichen. Dazu gehören:
- Aufrufen der Einstellungen für Tastatur und Eingabe
- Interaktion mit dem Sperrbildschirm (PIN, Muster oder Passwort)
- Aufwecken des Geräts und Reduzieren der Bildschirmhelligkeit auf das Minimum
- Starten von Overlays, um Google-Kontodaten zu stehlen
- Blockieren der Deinstallation der Malware
Zusätzlich kann die Malware:
- Bestimmte SMS-Nachrichten ausblenden
- Anrufe von bestimmten Nummern blockieren, die von einem Remote-Server vorgegeben werden
- Die Einstellungen für Standard-Apps aufrufen
- Gefälschte Anmeldeseiten für 172 Banken, Kryptowährungs-Wallets und Social-Media-Dienste wie Facebook und Telegram anzeigen
Weitere bekannte Funktionen umfassen Keylogging (Tastatureingaben aufzeichnen), Anrufweiterleitung, SMS-Diebstahl und die Nutzung von Virtual Network Computing (VNC), um das Gerät aus der Ferne zu steuern.
Betroffen sind vor allem Nutzer, die Englisch, Spanisch, Französisch, Deutsch, Italienisch, Portugiesisch oder Russisch sprechen.
Angesichts dieser fortschrittlichen Möglichkeiten der Malware ist es wichtig, proaktive Schutzmaßnahmen zu ergreifen, um Geräte und persönliche Daten vor Diebstahl und finanziellen Schäden zu schützen.
„SpyNote“ bei Cyberkriminellen weiter beliebt
Die Ergebnisse kommen zu einem Zeitpunkt, an dem Cyfirma aufgedeckt hat, dass hochrangige Persönlichkeiten in Südasien das Ziel einer Android-Malware-Kampagne geworden sind, die den SpyNote-Trojaner verbreitet. Wer hinter den Angriffen steckt, ist bislang unbekannt. „Die fortgesetzte Nutzung von SpyNote ist insofern bemerkenswert, da sonst auf besondere Raffinesse bedachte Bedrohungsakteure ein öffentlich in Untergrundforen und auf Telegram-Kanälen verfügbares Tool für ihre Angriffe auf hochrangige Personen nutzen“, erklärte das Unternehmen.
Google reagierte auf den Vorfall inzwischen mit einer Stellungnahme: „Unsere aktuellen Überprüfungen haben ergeben, dass keine Apps mit dieser Malware im Google Play Store gefunden wurden. Android-Nutzer sind durch Google Play Protect automatisch vor bekannten Versionen der Malware geschützt. Dieses Sicherheitsfeature ist auf Android-Geräten mit Google Play Services standardmäßig aktiviert. Google Play Protect warnt Nutzer oder blockiert schädliche Apps, auch wenn diese aus externen Quellen stammen.“