77 bösartige Android-Apps mit 19 Millionen Downloads zielten auf 831 Banken weltweit ab
Zscaler berichtet, dass 77 Android-Apps im Google Play Store mit 19 Millionen Installationen Malware verbreiten, 831 Banken treffen und Benutzer Betrug und Diebstahl aussetzen.
Eine neue Untersuchung des ThreatLabz-Teams von Zscaler hat ergeben, dass 77 bösartige Apps mit über 19 Millionen Installationen verschiedene Malware-Familien über den offiziellen Google Play Store verbreiteten.
Der Schwerpunkt der Untersuchung lag auf einer neuen Infektionswelle des Banking-Trojaners Anatsa (auch bekannt als TeaBot ), einem schädlichen Programm, das erstmals im Jahr 2020 identifiziert wurde und sich zu einer gefährlicheren und ausgefeilteren Bedrohung entwickelt hat.
Die neueste Anatsa-Variante hat ihre Reichweite dramatisch erweitert und zielt nun auf über 831 Finanzinstitute weltweit ab (vorher waren es 650). Die Betreiber der Malware haben neben beliebten Kryptowährungsplattformen auch neue Regionen wie Deutschland und Südkorea ins Visier genommen.
Viele der Lockvogel-Anwendungen, die wie harmlose Dokumentenleser aussehen sollten, wurden einzeln über 50.000 Mal heruntergeladen, was die große Reichweite der Kampagne verdeutlicht.
Berichten zufolge verwenden die Malware-Betreiber eine App namens „Document Reader – File Manager“ als Köder, die die schädliche Anatsa-Nutzlast erst nach der Installation herunterlädt, um die Codeüberprüfung von Google zu umgehen.
Weitere Untersuchungen ergaben, dass die aus dem offiziellen Store heruntergeladenen Apps zunächst sauber sind und wie versprochen funktionieren. Nach der Installation lädt die App jedoch heimlich die als notwendiges Update getarnte Anatsa-Malware herunter. Indem sie Benutzer dazu verleitet, die Bedienungshilfen von Android zu aktivieren, kann die Malware ihre schädlichen Aktionen automatisieren.
Sobald die Malware die Kontrolle erlangt hat, stiehlt sie Finanzinformationen, überwacht Tastatureingaben und ermöglicht betrügerische Transaktionen durch die Anzeige gefälschter Anmeldeseiten , die die Banking- oder Finanz-Apps auf dem Gerät des Benutzers imitieren. Beim Anmeldeversuch werden die Informationen direkt an die Angreifer übermittelt.
Die Schadsoftware kann Sicherheitsanalysen auch dadurch umgehen, dass sie ihren Code schwer lesbar gestaltet und prüft, ob sie in einer Testumgebung ausgeführt wird. Dazu gehören die Nutzung der Laufzeitentschlüsselung des Data Encryption Standard (DES) und Emulationsprüfungen, um Sicherheitstools zu umgehen. Die Schadsoftware nutzt ein beschädigtes ZIP-Archiv, um eine wichtige Schaddatei zu verbergen, sodass sie für Standardanalysetools schwer zu erkennen ist.
Die Untersuchung von Zscaler ergab, dass die meisten schädlichen Apps Adware enthielten. Die am häufigsten gefundene Android-Malware war jedoch Joker , der in fast einem Viertel der analysierten Apps vorhanden war. Diese Art von Malware ist dafür bekannt, Kontakte und Geräteinformationen zu stehlen, Screenshots zu erstellen, Anrufe zu tätigen und sogar Textnachrichten zu lesen und zu senden, um Benutzer ohne deren Zustimmung für Premiumdienste zu registrieren.
Eine kleinere Gruppe von Apps enthielt „Maskware“, eine Art Schadsoftware, die als legitime App fungiert, im Hintergrund aber schädliche Aktivitäten ausführt, wie etwa den Diebstahl von Anmeldeinformationen und persönlichen Daten wie Standort und SMS-Nachrichten. Außerdem wurde eine Joker-Malware-Variante namens Harly gefunden, die während des Überprüfungsprozesses nicht erkannt wird, da ihre schädliche Nutzlast tief im Code einer ansonsten legitim aussehenden App versteckt ist.
Da derartige Bedrohungen immer weiter zunehmen und sich verbreiten, stellen sie eine wachsende Gefahr für die Privatsphäre des Einzelnen, die Finanzsysteme und private Unternehmen dar.
„Android-Benutzer sollten stets die von Anwendungen angeforderten Berechtigungen überprüfen und sicherstellen, dass sie mit der beabsichtigten Funktionalität der Anwendung übereinstimmen“, so das Fazit der Studie.
„Die Entdeckung von Zscaler Threat Labs ist ein deutlicher Hinweis darauf, dass die Sicherheitslage offizieller App-Stores wie dem Google Play Store weitgehend reaktiv ist“, sagte Mayank Kumar , Gründungs-KI-Ingenieur bei DeepTempo. Er wies darauf hin, dass bis zur Entfernung dieser Apps bereits eine große Anzahl von Nutzern, in diesem Fall 19 Millionen, kompromittiert sei.
Kumar erklärte, dass Angreifer immer kreativer würden und Taktiken anwendeten, wie etwa das Einbetten ihres Codes tief in den Kern einer App, um während des Überprüfungsprozesses harmlos zu wirken. Er nannte die Harly-Variante als Beispiel und wies darauf hin, dass diese Verschleierungsebenen nutzt, um Sicherheitsüberprüfungen zu umgehen.
„Mit dem Aufkommen der KI wird es für Bedrohungsakteure noch einfacher, die mehrstufigen Nutzlasten und die fortschrittliche Verschleierung zu entwickeln, die erforderlich sind, um die Scan- und signaturbasierten Erkennungssysteme zu überwinden, die den Kern der App-Store-Abwehr bilden“, fügte er hinzu.
HackRead
