Eine Analyse der mobilen Bedrohungslandschaft im Jahr 2022 zeigt, dass Spanien und die Türkei die Länder sind, die am stärksten von Malware-Kampagnen betroffen sind, auch wenn eine Mischung aus neuen und bestehenden Banking-Trojanern zunehmend auf Android-Geräte abzielt, um On-Device-Betrug (ODF) durchzuführen.
Weitere Länder, die häufig ins Visier genommen werden, sind Polen, Australien, die USA, Deutschland, das Vereinigte Königreich, Italien, Frankreich und Portugal.
„Das besorgniserregendste Leitmotiv ist die zunehmende Aufmerksamkeit für On-Device Fraud (ODF)“, so das niederländische Cybersicherheitsunternehmen ThreatFabric in einem Bericht, der The Hacker News vorliegt.
„Allein in den ersten fünf Monaten des Jahres 2022 gab es einen Anstieg von mehr als 40 % bei Malware-Familien, die das Android-Betriebssystem missbrauchen, um über das Gerät selbst Betrug zu begehen, so dass es fast unmöglich ist, sie mit herkömmlichen Betrugserkennungsprogrammen zu erkennen.“
Hydra, FluBot (auch bekannt als Cabassous), Cerberus, Octo und ERMAC waren die aktivsten Banking-Trojaner, gemessen an der Anzahl der im gleichen Zeitraum beobachteten Proben.
Parallel zu diesem Trend werden immer wieder neue Dropper-Apps im Google Play Store entdeckt, die sich als scheinbar harmlose Produktivitäts- und Dienstprogramme tarnen, um die Malware zu verbreiten.
Nano Cleaner (com.casualplay.leadbro)
QuickScan (com.zynksoftware.docuscanapp)
Chrome (com.talkleadihr)
Play Store (com.girltold85)
Pocket Screencaster (com.cutthousandjs)
Chrome (com.biyitunixiko.populolo)
Chrome (Mobile com.xifoforezuma.kebo)
BAWAG PSK Sicherheit (com.qjlpfydjb.bpycogkzm)
Darüber hinaus ist es durch den On-Device-Betrug – eine heimliche Methode, um betrügerische Transaktionen von den Geräten der Opfer aus zu initiieren – möglich geworden, sich mit zuvor gestohlenen Zugangsdaten bei Bankanwendungen anzumelden und finanzielle Transaktionen durchzuführen.
Erschwerend kommt hinzu, dass die Banking-Trojaner ihre Fähigkeiten ständig weiterentwickeln. So hat Octo eine verbesserte Methode entwickelt, um Anmeldedaten von Overlay-Bildschirmen zu stehlen, noch bevor sie übermittelt werden.
Dies geschieht, um die Anmeldedaten auch dann zu erhalten, wenn das Opfer einen Verdacht hegt und das Overlay schließt, ohne das gefälschte „Login“ auf der Overlay-Seite zu drücken“, erklären die Forscher.
ERMAC, das im September letzten Jahres aufgetaucht ist, hat selbst deutliche Upgrades erhalten, die es ihm ermöglichen, automatisch Seed-Phrasen von verschiedenen Kryptowährungs-Wallet-Apps abzuschöpfen, indem er den Accessibility Service von Android nutzt.
Der Accessibility Service war in den letzten Jahren die Achillesferse von Android, da er es Bedrohungsakteuren ermöglichte, die legitime API zu nutzen, um ahnungslosen Nutzern gefälschte Overlay-Bildschirme zu präsentieren und sensible Informationen abzufangen.
Letztes Jahr hat Google versucht, das Problem in den Griff zu bekommen, indem es sicherstellte, dass „nur Dienste, die Menschen mit Behinderungen den Zugang zu ihrem Gerät erleichtern oder anderweitig behinderungsbedingte Herausforderungen überwinden, als Zugänglichkeitstools deklariert werden können“.
In Android 13, das sich derzeit in der Beta-Phase befindet, geht der Tech-Gigant jedoch noch einen Schritt weiter, indem er den API-Zugang für Apps einschränkt, die der Nutzer von außerhalb eines App Stores geladen hat.
ThreatFabric hat jedoch festgestellt, dass diese Beschränkungen durch einen optimierten Installationsprozess einfach umgangen werden können, was darauf hindeutet, dass ein strengerer Ansatz erforderlich ist, um solchen Bedrohungen entgegenzuwirken.
Es wird empfohlen, nur Apps aus dem Google Play Store herunterzuladen, keine ungewöhnlichen Berechtigungen für Apps zu erteilen, die keinen Zweck erfüllen (z. B. eine Taschenrechner-App, die auf Kontaktlisten zugreifen will), und sich vor Phishing-Versuchen zu hüten, die darauf abzielen, betrügerische Apps zu installieren.
„Die Offenheit des Android-Betriebssystems ist sowohl gut als auch schlecht, da Malware weiterhin die legitimen Funktionen missbraucht, während die kommenden Einschränkungen die böswilligen Absichten solcher Apps kaum zu beeinträchtigen scheinen“, so die Forscher.