Zwischen August und November 2021 verbreiteten sich vier verschiedene Android-Trojaner über den offiziellen Google Play-Shop und infizierten mehr als 300.000 Apps, die sich als scheinbar harmlose Dienstprogramme ausgaben, um die volle Kontrolle über infizierte Geräte zu übernehmen.
Entwickelt, um Anatsa (alias TeaBot), Alien, ERMAC und Hydra'sNetzwerksicherheitDiese Malware-Kampagnen sind nicht nur granularer, sondern auch so konzipiert, dass sie einen kleineren bösartigen Fußabdruck hinterlassen, indem sie effektiv sicherstellen, dass die Nutzlast nur auf Smartphone-Geräten installiert wird und dass sie während des Verteilungsprozesses heruntergeladen wird, so das Unternehmen ThreatFabric.
Einmal installiert, können diese Trojaner ein Tool namens Automated Transfer System (ATS) verwenden, um heimlich die Passwörter eines Benutzers ohne dessen Wissen zu stehlen, und können sogar SMS-basierte Zwei-Faktor-Authentifizierungscodes, Tastatureingaben und Screenshots stehlen, bis sie das Bankkonto eines Benutzers leerräumen. Diese Apps wurden inzwischen aus dem Play Store entfernt.
Die Liste der bösartigen Anwendungen lautet wie folgt:
- Zwei-Faktor-Authentifikator (com.flowdivison)
- Schutzwächter (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Master Scanner Live (com.multifuction.combine.qr)
- QR Code Scanner 2021 (com.qr.code.generate)
- QR-Scanner (com.qr.barqr.scangen)
- PDF-Dokumentenscanner - Scannen in PDF (com.xaviermuches.docscannerpro2)
- PDF-Dokumentenscanner kostenlos (com.doscanner.mobile)
- CryptoTracker (cryptolistapp.app.com.cryptotracker)
- Fitnessstudios und Fitnesstrainer (com.gym.trainer.jeux)
Anfang dieses Monats schränkte Google die Verwendung von Zugriffsberechtigungen ein, aber die Betreiber solcher Apps verbessern ihre Taktik zunehmend auf andere Weise, und selbst wenn sie gezwungen sind, den traditionelleren Weg (über den App-Markt) der Installation von Apps zu wählen, können sie genauso leicht bösartige Apps verwenden, um sensible Informationen von Android-Geräten abzufangen.
Dazu gehört vor allem eine Technik, die als Versionskontrolle bekannt ist, bei der zunächst eine saubere Version einer Anwendung hochgeladen wird und dann nach und nach bösartige Funktionen in Form von nachfolgenden Anwendungsupdates eingeführt werden. Eine weitere Strategie besteht darin, ähnlich aussehende Command-and-Control-Websites (C2) zu entwerfen, die dem Thema der Dropper-Anwendung entsprechen, um die herkömmlichen Erkennungsmethoden zu umgehen.
Seit Juni 2021 hat ThreatFabric sechs Anatsa-Implantate im Play Store entdeckt, die so verändert wurden, dass sie "Updates" herunterladen und dann den Benutzer auffordern, ihnen die Erlaubnis zur Installation von Apps aus unbekannten Drittquellen und Zugriffsberechtigungen zu erteilen.
[Hinweis]
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/over-300000-devices-attacked-by-4-android-trojans.html
