Land

Security Blog

Banking Trojaner auf Google Play entdeckt

Mehr als 10.000 Installationen über Google Play, mehr als 10.000 Euro Schadensumme

Bereits seit Anfang des Jahres beobachten wir einen signifikanten Anstieg an Banking Trojanern auf dem Android Malware Markt. Im September schaffte es nun ein Trojaner via Google Play auf mehr als 10.000 Installationen und an mehr als 10.000 Euro zu kommen.

Der Träger der Schadsoftware war in diesem Fall die unverdächtige, aber manipulierte App „QRecorder“ zur Aufzeichnung von Telefonaten. Die Installation erfolgte über den offiziellen Google Playstore (mittlerweile wurde die App entfernt). Nach dem Download forderte die App einige Berechtigungen an, unter anderem das Senden und Empfangen von SMS und das Überlagern der Displayausgabe anderer Anwendungen. Damit war es auch schon möglich, die Zwei-Faktor-Authentifizierung zu umgehen sowie Login-Daten abzugreifen und an den Angreifer weiterzuleiten.

Anforderung weiterer Berechtigungen, Nachladen von Routinen und Umgehung von SMS-TANs

Aus User-Sicht funktionierte die App erstmal anstandslos laut Beschreibung, um keinen Verdacht zu erwecken. Im Hintergrund wartete sie jedoch auf externe Befehle, die innerhalb von 24 Stunden übertragen wurden. Daraufhin wurde das Smartphone nach folgenden installierten Banking-Apps durchsucht:

  • at.easybank.mbanking
  • at.ing.diba.client.onlinebanking
  • at.oberbank.mbanking
  • at.volksbank.volksbankmobile
  • com.bankaustria.android.olb
  • com.cleverlance.csas.servis24
  • com.icomvision.bsc.mobilebank
  • com.isis_papyrus.raiffeisen_pay_eyewdg
  • cz.airbank.android
  • cz.csas.app.mjstav
  • cz.csas.georgego
  • cz.csob.smartbanking
  • cz.equabank.mbilebanking
  • cz.mbank
  • cz.moneta.smartbanka
  • cz.rb.app.smarphonebanking
  • cz.ulikeit.fioat.easybank.mbanking
  • at.ing.diba.client.onlinebanking
  • at.oberbank.mbanking
  • at.volksbank.volksbankmobile
  • com.bankaustria.android.olb
  • com.cleverlance.csas.servis24
  • com.icomvision.bsc.mobilebank
  • com.isis_papyrus.raiffeisen_pay_eyewdg
  • cz.airbank.android
  • cz.csas.app.mjstav
  • cz.csas.georgego
  • cz.csob.smartbanking
  • cz.equabank.mbilebanking
  • cz.mbank
  • cz.moneta.smartbanka
  • cz.rb.app.smarphonebanking
  • cz.ulikeit.fio

Im Visier der Angreifer*innen standen also deutschsprachige, tschechische und polnische Banken. Von zwei Opfern wurden auf diese Art und Weise hohe Summen von insgesamt mehr als 10.000 Euro entwendet, es könnte aber noch mehrere Opfer mit kleineren Schadenssummen geben. Gegebenenfalls empfiehlt sich daher ein genauer Blick auf die Kontobewegungen.

Verschleierung, C&C Kommunikation und HTML-Overlays

Die manipulierte App arbeitet nach unseren Analysen mit Geräten, die Google Play Services verwenden. Um dynamische Analysen, wie sie hauptsächlich von Google verwendet werden, zu erschweren, und um Emulatoren und Roots zu entdecken, die auf virtuelle Geräte und damit Analyse-Umgebungen hinweisen, nutzt die App Googles SafetyNET. Dieser Service liefert Informationen darüber, welche Hard- und Software auf dem Mobilgerät läuft und ermöglicht es, das Verhalten der App an das jeweilige System anzupassen (beispielsweise indem die Software stoppt oder eine Error-Meldung liefert).

Um außerdem statische Analysen, die den Code der Software untersuchen ohne diesen auszuführen, zu behindern, nutzt die App die Demo-Version des Allatori Obfuscator. Die C2 Kommunikation  (Command and Control Communication) findet via Firebase statt. Um Login-Daten zu den Bank-Accounts zu stehlen, arbeitet die App mit HTML-Overlays, die HTML-Eingabemasken werden auf Eingabe und Format gecheckt.

Nachahmung legitimer Apps und Geschäftsmodell „Trojan as a Service”

Das gesamte Funktionsmodell der grundlegenden Malware ist schon seit 2017 bekannt. In einem russischsprachigen Forum wurde diese Art von Schadsoftware als fertiges „Dienstleistungspaket“ angeboten. Das flexible Bausteinsystem bietet dabei Grundfunktionen und ermöglicht eine Nachahmung von legitimen Applikationen und Anwendungen. Im dem oben untersuchten Fall, der auf spezifische Banking-Apps im mitteleuropäischen Raum abzielte, wurde eine gefälschte Version der Telefonaufzeichnungssoftware „QRecorder“ in Verkehr gebracht. Der originale Herausgeber aus Nepal hat hier inzwischen auch schon mit einer Klarstellung und Presseaussendung reagiert. In den Kommentaren und Bewertungen wird auch dort bereits vor dem Trojaner gewarnt. Verständlicherweise sieht sich dieser auch als Opfer des Betrugs.

Risiko Nachahmung populärer Software und Empfehlung zur Nutzung von Sicherheitssoftware

Als Nutzer eines Smartphones ist es aufgrund dieses aufsteigenden Trends ratsam, die Legitimität bei der Neuinstallation von Apps möglichst kritisch zu hinterfragen und schon bei kleinen Unstimmigkeiten aufmerksam zu werden. Dies kann z.B. ein verdächtiger Name oder eine Abkürzung des Herausgebers der App sein. Werden weiters untypische Ausnahmen und Berechtigungen angefordert, sollte dies zu denken geben. Wer auf Nummer Sicher gehen möchte, verwendet ein zweites Telefon für SMS-TANs bei der Nutzung von Banking-Anwendungen. Zur Basis-Ausrüstung gehört zudem eine professionelle Sicherheitssoftware, z.B. IKARUS mobile.security.

 

IKARUS-User sind sicher: IKARUS mobile.security war eine der ersten Security-Apps, die die manipulierte App als schädlich erkannt haben. Unsere App findet auch gut getarnte Schädlinge und bietet Ihnen an, diese umgehend zu löschen und zu deinstallieren. Das Feature „Überwachung“ ermöglicht es, alle Downloads und Updates zu scannen, außerdem empfehlen wir, zusätzlich regelmäßige Scanintervalle zu definieren. So sind Sie automatisch bestens geschützt!