Ein Zeichen dafür, dass böswillige Akteure weiterhin Wege finden, die Sicherheitsvorkehrungen im Google Play Store zu umgehen, ist ein bisher nicht dokumentierter Android-Dropper-Trojaner, der sich derzeit in der Entwicklung befindet.
„Diese neue Malware versucht, Geräte mit einer neuartigen Technik zu missbrauchen, die es bei Android-Malware noch nie gegeben hat, um den extrem gefährlichen Xenomorph-Bankentrojaner zu verbreiten, der es Kriminellen ermöglicht, On-Device-Betrug auf den Geräten ihrer Opfer durchzuführen“, so Han Sahin von ThreatFabric in einer Mitteilung an The Hacker News.
Die von der niederländischen Sicherheitsfirma BugDrop getaufte Dropper-App wurde explizit entwickelt, um die neuen Funktionen der kommenden Android-Version zu umgehen, die es Malware erschweren sollen, Zugriffsrechte von den Opfern zu verlangen.
ThreatFabric schreibt den Dropper einer Cyberkriminellengruppe namens „Hadoken Security“ zu, die auch hinter der Entwicklung und Verbreitung der Android-Malwarefamilien Xenomorph und Gymdrop steht.
Banking-Trojaner werden in der Regel über harmlose Dropper-Apps auf Android-Geräten verbreitet, die sich als Produktivitäts- und Dienstprogramme ausgeben und die Nutzer nach der Installation dazu verleiten, invasive Berechtigungen zu erteilen.
Insbesondere die Accessibility API, die es Apps ermöglicht, den Inhalt des Bildschirms zu lesen und Aktionen im Namen des Nutzers auszuführen, wurde stark missbraucht, sodass Malware-Betreiber sensible Daten wie Zugangsdaten und Finanzinformationen abfangen konnten.
Dies wird durch sogenannte Overlay-Angriffe erreicht, bei denen der Trojaner ein gefälschtes Anmeldeformular von einem entfernten Server einschleust, wenn das Opfer eine gewünschte App, wie z. B. eine Kryptowährungs-Wallet, öffnet.
Da die meisten dieser bösartigen Apps per Sideload installiert werden – was nur möglich ist, wenn der Nutzer die Installation aus unbekannten Quellen erlaubt hat – hat Google mit Android 13 den Schritt unternommen, den Zugriff auf die Accessibility API für Apps, die außerhalb eines App Stores installiert wurden, vollständig zu blockieren.
Aber das hat Angreifer nicht davon abgehalten, zu versuchen, diese eingeschränkte Sicherheitseinstellung zu umgehen. BugDrop tarnt sich als QR-Code-Lesegerät und wird von seinen Autoren getestet, um bösartige Nutzdaten über einen sitzungsbasierten Installationsprozess zu verteilen.
„Wahrscheinlich verwenden die Akteure eine bereits entwickelte Malware, die neue APKs auf einem infizierten Gerät installieren kann, um eine sitzungsbasierte Installationsmethode zu testen, die dann später in einen ausgefeilteren und raffinierteren Dropper integriert wird“, so die Forscher.
Diese Änderungen könnten die Banking-Trojaner zu einer noch gefährlicheren Bedrohung machen, die in der Lage ist, Sicherheitsvorkehrungen zu umgehen, noch bevor sie vorhanden sind.
„Mit der Fertigstellung und Behebung aller Probleme, die BugDrop derzeit aufweist, haben Kriminelle eine weitere wirksame Waffe im Krieg gegen Sicherheitsteams und Bankinstitute, mit der sie die Lösungen, die derzeit von Google eingesetzt werden und die eindeutig nicht ausreichen, um Kriminelle abzuschrecken, besiegen können“, so das Unternehmen.
Nutzerinnen und Nutzer sollten vermeiden, Opfer von Malware zu werden, die in offiziellen App Stores versteckt ist, indem sie nur Anwendungen von bekannten Entwicklern und Herausgebern herunterladen, App-Bewertungen genau prüfen und die Datenschutzrichtlinien überprüfen.