Eine Reihe von betrügerischen Android-Apps, die insgesamt mehr als 50.000 Mal aus dem offiziellen Google Play Store installiert wurden, werden genutzt, um Banken und andere Finanzunternehmen anzugreifen.
Der gemietete Banking-Trojaner mit dem Namen Octo soll eine Neuauflage einer anderen Android-Malware namens ExobotCompact sein, die wiederum ein „leichter“ Ersatz für den Vorgänger Exobot ist, so das niederländische Unternehmen für mobile Sicherheit ThreatFabric in einem Bericht an The Hacker News.
Exobot soll auch den Weg für einen weiteren Nachkommen namens Coper geebnet haben, der zunächst im Juli 2021 bei kolumbianischen Nutzern entdeckt wurde und seither Android-Nutzer in verschiedenen europäischen Ländern infiziert.
„Coper-Malware-Apps sind modular aufgebaut und beinhalten eine mehrstufige Infektionsmethode und viele Verteidigungstaktiken, um Entfernungsversuche zu überleben“, stellte das Cybersecurity-Unternehmen Cyble in einer Analyse der Malware im letzten Monat fest.
Wie andere Android-Bankentrojaner sind die betrügerischen Apps nichts anderes als Dropper, deren Hauptfunktion darin besteht, die darin eingebettete bösartige Nutzlast zu verbreiten. Die Liste der Octo- und Coper-Dropper, die von verschiedenen Bedrohungsakteuren verwendet werden, findest du unten.
Pocket Screencaster (com.moh.screen)
Fast Cleaner 2021 (vizeeva.fast.cleaner)
Play Store (com.restthe71)
Postbank Sicherheit (com.carbuildz)
Pocket Screencaster (com.cutthousandjs)
BAWAG PSK Security (com.frontwonder2), und
Play Store App installieren (com.theseeye5)
Diese Apps, die sich als Play Store App-Installer, Bildschirmaufzeichnung und Finanz-Apps ausgeben, werden „mit erfinderischen Verbreitungsschemata“ über den Google Play Store und über betrügerische Landing Pages verteilt, die Nutzer angeblich darauf hinweisen, ein Browser-Update herunterzuladen.
Sobald die Dropper installiert sind, fungieren sie als Kanal, um die Trojaner zu starten, aber erst nachdem sie die Nutzer aufgefordert haben, die Zugänglichkeitsdienste zu aktivieren, die ihnen ein breites Spektrum an Möglichkeiten bieten, um sensible Informationen von den kompromittierten Telefonen auszuspionieren.
Octo, die überarbeitete Version von ExobotCompact, ist auch in der Lage, Betrug auf dem Gerät zu begehen, indem er die Fernsteuerung der Geräte übernimmt, indem er die Zugriffsrechte und die MediaProjection-API von Android nutzt, um Bildschirminhalte in Echtzeit zu erfassen.
Das ultimative Ziel, so ThreatFabric, ist es, die „automatische Initiierung von betrügerischen Transaktionen und deren Autorisierung ohne manuelle Bemühungen des Betreibers auszulösen und so Betrug in einem deutlich größeren Umfang zu ermöglichen.“
Zu den weiteren bemerkenswerten Funktionen von Octo gehören das Aufzeichnen von Tastatureingaben, Overlay-Angriffe auf Banking-Apps, um Anmeldeinformationen abzufangen, das Sammeln von Kontaktinformationen und Persistenzmaßnahmen, um Deinstallationen zu verhindern und Antivirenprogramme zu umgehen.
„Durch die Umbenennung in Octo werden frühere Verbindungen zum Exobot-Quellcodeleck verwischt, was mehrere Bedrohungsakteure einlädt, die nach einer Gelegenheit suchen, einen vermeintlich neuen und originellen Trojaner zu mieten“, so ThreatFabric.
„Seine Fähigkeiten gefährden nicht nur explizit angepeilte Anwendungen, auf die der Overlay-Angriff abzielt, sondern jede auf dem infizierten Gerät installierte Anwendung, da ExobotCompact/Octo in der Lage ist, den Inhalt jeder auf dem Bildschirm angezeigten App zu lesen und dem Akteur genügend Informationen zu liefern, um aus der Ferne mit ihr zu interagieren und On-Device-Fraud (ODF) durchzuführen.“
Die Entdeckungen kommen kurz nach der Entdeckung eines separaten Android-Bankbots namens GodFather, der Überschneidungen mit den Banking-Trojanern Cereberus und Medusa aufweist. Dieser wurde dabei beobachtet, wie er Banknutzer in Europa unter dem Deckmantel der Standard-Einstellungs-App angriff, um unter anderem Geld zu überweisen und SMS-Nachrichten zu stehlen.
Darüber hinaus fand eine neue Analyse von AppCensus 11 Apps mit mehr als 46 Millionen Installationen, die mit einem SDK eines Drittanbieters namens Coelib ausgestattet waren, das es ermöglichte, Inhalte der Zwischenablage, GPS-Daten, E-Mail-Adressen, Telefonnummern und sogar die MAC-Adresse des Modem-Routers und die Netzwerk-SSID des Nutzers zu erfassen.