Bizarro Banking Trojaner

Bizarro Banking Trojaner-Beschreibung

Ein neuer hochentwickelter Android-Banking-Trojaner wird gegen Benutzer in Europa und Südamerika eingesetzt. Die Bedrohung wurde Bizarro genannt und gehört zur Gruppe der brasilianischen Bankentrojaner. Anstatt wie üblich lokal zu operieren, wurde Bizarro weltweit mit einem stärkeren Fokus auf Benutzer in Argentinien, Chile, Deutschland, Frankreich, Italien, Spanien und Portugal freigesetzt.

Das Ziel des Bedrohungsakteurs ist es, Online-Banking-Anmeldeinformationen von den kompromittierten Android-Geräten zu erhalten und Bitcoin-Geldbörsen zu entführen. Über 70 Banken werden vom Bizarro Banking Trojaner angegriffen. Es verbreitet sich über Microsoft Installer-Pakete, die entweder über Links in Spam-E-Mails bereitgestellt oder von Waffenanwendungen geliefert werden.

Sobald Bizarro auf das Android-Gerät des Benutzers übertragen wurde, werden alle derzeit aktiven Browserprozesse beendet. Ziel ist es, mögliche Sitzungen mit derzeit laufenden Bank-Websites zu stoppen. Das Opfer wird dann gezwungen sein, seine Bankdaten erneut einzugeben. Diesmal versucht die Malware jedoch, Informationen zu sammeln. Um die Erfolgschancen zu erhöhen, deaktiviert Bizarro die automatische Vervollständigung und generiert gefälschte Popups, um alle Zwei-Faktor-Authentifizierungscodes abzufangen. Der Banking-Trojaner verfügt außerdem über Bildschirmaufnahmefunktionen. Der bedrohlichste Aspekt und das, was Bizarro von den meisten anderen Bankentrojanern unterscheidet, ist das vollwertige Backdoor-Modul.

Eine leistungsstarke Backdoor-Funktionalität

Das Backdoor-Modul von Bizarro kann über 100 verschiedene Befehle erkennen und ausführen. Die Hintertür wird jedoch nicht sofort aktiviert. Es wird gewartet, bis eine Verbindung zu einem Online-Banking-System festgestellt wurde, das mit einer Liste fest codierter Zeichenfolgen übereinstimmt. Erst danach werden die Kernkomponenten der Hintertür aktiviert. Im Allgemeinen kann der Bedrohungsakteur Daten über das System des Opfers abrufen. Suchen, Exfiltrieren oder Herunterladen von Dateien in das System; Übernehmen Sie die Kontrolle über Eingabegeräte wie Maus oder Tastatur. Zeigen Sie Phishing-Meldungen wie gefälschte Popup-Fenster an.

Bizarro kann JPEG-Bilder herunterladen, die bestimmte Banklogos und Anweisungen für die Opfer enthalten, um ausgewählte Online-Banking-Systeme nachzuahmen. Die Bilder werden vom Command-and-Control-Server (C2, C & C) abgerufen und verschlüsselt im Profilverzeichnis des Benutzers gespeichert. Die Malware kann auch benutzerdefinierte Nachrichten anzeigen. Auf diese Weise kann Bizarro das gefährdete Gerät effektiv einfrieren. Während die benutzerdefinierte Nachricht angezeigt wird, können Benutzer sie nicht schließen oder sogar den Task-Manager öffnen. Gleichzeitig wird der Bildschirm ausgegraut und die Taskleiste ausgeblendet.

Die Bizarro-Operation scheint ziemlich ausgefeilt zu sein, da der Bedrohungsakteur verschiedene Partner und Maultiere einsetzt, um verschiedene Aktionen auszuführen. Diese können von einfacher Hilfe bei Übersetzungen bis hin zu Geldwäschesystemen oder der Erleichterung der ersten Angriffe auf Benutzergeräte reichen.