Banking-Trojaner Anubis wird für nächste Angriffswelle vorbereitet

Die Sicherheitsforscher von Lookout haben eine neue Version der Malware Anubis entdeckt. Zwar ist ein erster Versuch, diese über den Google Play Store zu verbreiten, gescheitert. Die Experten erwarten jedoch, dass die Cyberkriminellen weiter versuchen werden, den Trojaner besser zu tarnen und ihn erfolgreich zu vertreiben.

Anubis ist in erster Linie ein Banking-Trojaner für Android-Smartphones, der gezielt eine Reihe von Apps überwacht, um Anmeldedaten und personenbezogene Informationen zu erbeuten. In der aktuellen Variante tarnt sich die Applikation als offizielle Account-Management-Anwendung des führenden französischen Telekommunikationsunternehmens Orange S.A. Die Hacker reichten die App unter dem Paketnamen fr.orange.serviceapp Ende Juli 2021 im Google Play Store ein, scheiterten jedoch an der Sicherheitsüberprüfung. So konnte die Malware nicht über offizielle Kanäle verteilt werden.

Die Security-Experten von Lookout gehen davon aus, dass dies nicht der letzte Versuch war, Anubis in den Google Play Store einzuschleusen. Sie hatten einen teilweisen Blick hinter die Kulissen werfen können, weil die Infrastruktur noch nicht vollständig abgesichert war. Daher gehen sie fest davon aus, dass die Hacker zunächst die Sicherheitsmaßnehmen von Google auf die Probe stellen wollten und künftig mit besser getarnten Distributionen arbeiten werden. Bemerkenswert sei insbesondere, dass bereits jetzt ein Teil der Verschleierungsfunktionen auf Seiten des Command-and-Control-Servers (C2) zu finden sind.

Fortgesetzte Malware-Entwicklung

Die Liste der zu überwachenden Anwendungen umfasst fast 400 Apps von Banken, Kryptowährungs-Wallets und virtuellen Zahlungsplattformen. Anubis setzt ein breites Angriffsarsenal ein, um relevante Daten zu sammeln. Es reicht vom Abfangen von SMS über Keylogging, Datei-Exfiltration, Bildschirmüberwachung und GPS-Datenerfassung bis hin zum Missbrauch der Zugangsdienste des Geräts.

Anubis ist seit 2016 bekannt, zunächst von einem Hacker angeboten, später war der Quellcode frei im Netz verfügbar. Aufgrund zahlreicher Anfragen von technisch wenig versierten Anwendern hat sich eine Service-Community entwickelt, die gegen Gebühr Einrichtungs- und Anpassungsunterstützung bietet. Die neueste Version hat nochmals zusätzliche Fähigkeiten bekommen, darunter solche zur Durchführung von Overlay-Angriffen, aber auch zur Beendigung der Spionage-Aktivitäten und der vollständigen Entfernung von befallenen Geräten.

Scheinbar harmlose Anwendung

In der analysierten Variante gibt die Malware vor, eine Orange-Service-App zu sein. Nach dem Start verlangt sie Zugriff auf mehrere Dienste – sobald der User sein OK gibt, beginnt der Angriff. Dazu nutzt der Trojaner Gerätedienste, die eine barrierefreie Nutzung ermöglichen sollen, um mit dem Bildschirm des Geräts zu interagieren und sich selbst zusätzliche umfangreiche Berechtigungen zu erteilen.

Zugleich wird eine Kommunikation mit dem C2-Server aufgebaut, wobei eine weitere App nachgeladen wird, die einen SOCKS5-Proxy initiiert. Dieser Proxy ermöglicht es dem Angreifer, die Authentifizierung für Clients zu erzwingen, die mit ihrem Server kommunizieren, und die Kommunikation zwischen dem Client und C2 zu maskieren. In einem weiteren Schritt wird der Benutzer aufgefordert, Google Play Protect auszuschalten, sofern dieses aktiv ist.

Wird eine der 394 gelisteten Apps gestartet, führt die Malware ihren Angriff aus, um an relevante Daten zu kommen. So wird dem User eine Phishing-Seite zur Eingabe seiner Zugangsdaten eingeblendet, die per Overlay erzeugt und aufgrund der zuvor gesammelten Daten länderspezifisch angepasst wird. Ein weiteres Angriffsszenario besteht darin, dem User vorzugaukeln, er müsse seine Zahlungsdaten beim Google Play Store eingeben. Auch diese landen direkt bei den Cyberkriminellen.

Nicht alleine auf Finanzdaten beschränkt

Die Sicherheitsexperten von Lookout betonen, dass Anubis als leicht verfügbare Commodity-Banking-Malware stetig weiterentwickelt wird und hier kein Ende der Bedrohung abzusehen ist. Die aufgedeckte Kampagne ist ein weiterer Beleg dafür, dass die Finanzindustrie eine der am stärksten betroffenen Branchen ist. Die Analyse des Command-and-Control-Servers erhärtet zudem die Vermutung, dass die Entwickler des Trojaners planen, weitere Versionen zu veröffentlichen.

Daneben muss jedoch auch damit gerechnet werden, dass die Malware auch für weitere Zwecke zum Einsatz kommt – denn Anmeldedaten jeglicher Art sind für Hacker in jedem Fall wertvoll. So könnten beispielsweise Mitarbeiteranmeldungen betroffen sein, wenn der Benutzer versucht, von seinen mobilen Geräten aus auf cloudbasierte Apps wie Google Drive oder Microsoft Office 365 zuzugreifen.

Der vollständige Bericht von Kristina Balaam, Senior Security Intelligence Researcher, ist auf der Lookout-Website abzurufen. hj