Eine neue Version des Banking-Trojaners bedroht die Nutzer von Android-Smartphones. Die dritte Generation Xenomorph.C ist nicht nur auf rund 400 Finanz-Apps eingestellt, sondern kann die gesamte Betrugskette vollautomatisiert abarbeiten. Nicht einmal von einer Multi-Faktor-Authentifizierung ist die Malware zu stoppen. Nun könnte eine breite Angriffswelle drohen.
Rund 400 Finanz-Apps von Anbietern rund um die Welt hat der Banking-Trojaner Xenomorph zum Ziel. ThreatFabric
Rund 100 Schadsoftware-Varianten pro Minute bedrohen die IT-Sicherheit von Bürgerinnen und Bürgern, meldet der neue Bedrohungsreport von G DATA CyberDefense. Eines der erklärten Ziele: Die Log-in-Daten für das Online-Banking zu erbeuten. Ein hohes Cyberrisiko konstatiert G DATA insbesondere für Inhaber von Android-Handys. Zwei Schad-Apps pro Minute haben im vergangenen Jahr Android-Anwender bedroht, melden die Security-Experten. Nicht nur Privatpersonen, auch Unternehmen werden attackiert. Die Angriffe würden zwar weniger, zugleich aber deutlich „besser“ – sprich: wirkungsvoller.
Als Beispiel für diese Entwicklung kann der Trojaner Xenomorph gelten. Der niederländische Cybersecurity-Anbieter ThreatFabric (Website) meldet die Entdeckung einer neuen Version der Banking-Malware. Sie wurde um viele neue Funktionen erweitert. Dazu zählt insbesondere die Einführung einer sehr umfangreichen Laufzeit-Engine, die von Accessibility-Diensten angetrieben wird. Sie wird zur Implementierung eines vollständigen ATS-Frameworks verwendet, mit dem Xenomorph jetzt in der Lage ist, die gesamte Betrugskette vollständig zu automatisieren. Von der Infektion bis zur Exfiltration von Geldern kann die Malware ohne weiteres Zutun des Users tätig werden.
Ausgefeilte Technik
Erstmals war den Security-Forschern von ThreatFabric der Xenomorph getaufte Trojaner im Februar 2022 aufgefallen. Im Sommer des vergangenen Jahres kam dann eine Nachfolgeversion heraus, die eine komplett neue technische Basis aufwies, die sich insbesondere durch eine Modularisierung des Codes auszeichnete. So können neue Funktionen einfacher hinzugefügt werden. Das machten sich die Cyberkriminellen in der neuen Fassung zunutze. Xenomorph v3 oder auch Xenomorph.C, wie die dritte Generation bezeichnet wird, hat unter anderem die Möglichkeit bekommen, Anrufe weiterzuleiten, SMSen zu versenden und ein ATS-Modul (Automated Transfer Systems) auszuführen.
Xenomorph ist in der Lage, Authentifizierung-Apps auszuwerten und so MFA-Sicherungsmechanismen zu umgehen. ThreatFabric
Letzteres ermöglicht es, betrügerische Transaktionen auf infizierten Geräten automatisch abzuschließen. ATS-Systeme sind in der Lage, automatisch Anmeldeinformationen oder den Kontostand zu extrahieren, Transaktionen einzuleiten, MFA-Token zu erhalten und Geldtransfers abzuschließen, ohne dass eine menschliche Interaktion eines Betreibers erforderlich ist. Die von Xenomorph verwendete Engine hebt sich laut ThreatFabric durch einige Feinheiten von anderen ATS-Frameworks ab, unter anderem da es eine bedingte Ausführung und Aktionspriorisierung ermöglicht.
In der Praxis bedeutet das, dass Xenomorph nicht nur in der Lage ist, auf SMS als Authentifizierungsmerkmal zu reagieren, sondern sogar MFA-Codes aus der Authenticator-Anwendung von Google zu extrahieren, wenn diese auf dem gleichen Gerät verwendet wird und nicht auf einem unabhängigen Device. Dadurch wird der Trojaner in die Lage versetzt, eine betrügerische Transaktion zu initiieren, die die gezielte Banking-Anwendung missbraucht, und gleichzeitig die Authentifikator-App zu verwenden, um die erforderlichen Authentifizierungscodes zu lesen.
Über 400 Ziele
Ein Ausschnitt der identifizierten Ziele – darunter 18 Apps von deutschen Anbietern. ThreatFabric
Aufs Smartphone kommt der Trojaner über den Darknet-Dienst Zombinder. Dieser bringt Malware als unerwünschte „Zugabe“ in legitime Android-Anwendungen. Nach Angaben der Zombinder-Betreiber sollen die damit erstellten App-Bundles in der Laufzeit nicht nachweisbar sein und Google-Protect-Warnungen oder AVs, die auf den Zielgeräten ausgeführt werden, umgehen können. Die von ThreatFabric entdeckte Malware kommt „Huckepack“ mit dem Währungsumrechner CoinCalc, der auch die aktuellen Kurse von Kryptowährungen berücksichtigt.
Dazu passt, dass die neue Xenomorph-Variante nicht nur Banking-Apps attackiert, sondern auch andere Finanz-Apps, bis hin zu Krypto-Wallets. Rund 400 Ziele haben die Sicherheitsforscher in der App ausgemacht. An erster Stelle sind Anwendungen von spanischen Anbietern (43), gefolgt von solchen aus der Türkei (40), Polen und den USA (je 32). Deutschland, Frankreich und Portugal liegen mit je 18 Zielen gleichauf.
Neue Kampagne erwartet
Auftakt zu einem MaaS-Angebot? Diese Werbewebsite ist inzwischen wieder offline. ThreatFabric
Laut ThreatFabric waren die bislang gefundenen Infektionen stets nur Teil einer kleinen, begrenzten Angriffskampagne. Mit der neuen Version, die eine ausgefeiltere Technik bereitstellt, könnte sich das ändern. Denn die niederländischen Security-Experten haben bereits eine Werbeseite gefunden, in der die Xenomorph-Entwickler ihr Produkt anpreisen. Die Wahrscheinlichkeit ist also hoch, dass sie nicht selbst auf Fischzug gehen wollen, sondern ihnen der Trojaner als Malware-as-a-Service zu Einnahmen verhelfen soll.
Weitere Details zu Funktionsweise, den enthaltenen Befehlen und die gefundenen Angriffsziele hat ThreatFabric in seinem Blogbeitrag aufgelistet. hj
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/151530
Schreiben Sie einen Kommentar