Nur wenige Wochen nach der Zerschlagung von FluBot durch eine koordinierte Operation der Strafverfolgungsbehörden wurde eine neue Android-Malware entdeckt, die es auf Online-Banking- und Kryptowährungs-Wallet-Kunden in Spanien und Italien abgesehen hat.
Der Trojaner mit dem Codenamen MaliBot von F5 Labs ist genauso funktionsreich wie seine Vorgänger. Er kann Anmeldedaten und Cookies stehlen, die Multi-Faktor-Authentifizierung (MFA) umgehen und den Accessibility Service von Android missbrauchen, um den Bildschirm des Opfers zu überwachen.
MaliBot ist dafür bekannt, dass er sich hauptsächlich als Kryptowährungs-Mining-Apps wie Mining X oder The CryptoApp tarnt, die über betrügerische Websites verbreitet werden, um potenzielle Besucher zum Herunterladen zu verleiten.
Der MaliBot bedient sich auch aus dem Spielbuch für mobile Banking-Trojaner, indem er Smishing als Verbreitungsvektor nutzt, um die Malware zu verbreiten, indem er auf die Kontakte eines infizierten Smartphones zugreift und SMS-Nachrichten mit Links zur Malware verschickt.
„MaliBots Command-and-Control (C2) befindet sich in Russland und scheint dieselben Server zu nutzen, die auch für die Verbreitung der Sality-Malware verwendet wurden“, so Dor Nizar, Forscher bei F5 Labs. „Es handelt sich um eine stark modifizierte Überarbeitung der SOVA-Malware, mit anderen Funktionen, Zielen, C2-Servern, Domänen und Packschemata“.
SOVA (was auf Russisch „Eule“ bedeutet) wurde erstmals im August 2021 entdeckt und zeichnet sich durch seine Fähigkeit aus, Overlay-Angriffe auszuführen, bei denen eine betrügerische Seite über WebView mit einem vom C2-Server bereitgestellten Link angezeigt wird, wenn ein Opfer eine Banking-App öffnet, die auf der Liste der aktiven Ziele steht.
Zu den Banken, die MaliBot mit diesem Ansatz angreift, gehören UniCredit, Santander, CaixaBank und CartaBCC.
Der Accessibility Service ist ein Hintergrunddienst, der auf Android-Geräten läuft, um Nutzern mit Behinderungen zu helfen. Er wird seit langem von Spyware und Trojanern ausgenutzt, um den Inhalt des Geräts abzufangen und Zugangsdaten abzufangen, die von ahnungslosen Nutzern in anderen Apps eingegeben werden.
Die Malware ist nicht nur in der Lage, Passwörter und Cookies des Google-Kontos des Opfers auszuspähen, sondern auch 2FA-Codes aus der Google Authenticator-App abzugreifen und sensible Informationen wie Gesamtsalden und Seed-Phrasen aus Binance- und Trust Wallet-Apps zu exfiltrieren.
Darüber hinaus ist Malibot in der Lage, seinen Zugriff auf die Accessibility API zu nutzen, um Googles Zwei-Faktor-Authentifizierungsmethoden (2FA), wie z. B. die Google-Eingabeaufforderung, zu umgehen, selbst wenn versucht wird, sich mit den gestohlenen Anmeldedaten von einem unbekannten Gerät aus bei den Konten anzumelden.
„Die Vielseitigkeit der Malware und die Kontrolle, die sie den Angreifern über das Gerät gibt, bedeuten, dass sie prinzipiell für ein breiteres Spektrum von Angriffen als den Diebstahl von Zugangsdaten und Kryptowährung verwendet werden könnte“, so die Forscher.
„Tatsächlich ist jede Anwendung, die WebView nutzt, anfällig für den Diebstahl von Anmeldedaten und Cookies.