BrazKing Android Malware
BrazKing ist eine mobile Banking-Malware, die Overlay-Angriffe durchführt, um die Bankdaten ihrer Opfer zu sammeln. Die Bedrohung zielt überwiegend auf Android-Geräte und Benutzer in Brasilien ab, was möglicherweise darauf hindeutet, dass seine Betreiber auch in der Region ansässig sind. Die Forscher von IBM Trusteer haben die Bedrohung beleuchtet, indem sie einen Bericht mit ihren Ergebnissen nach der Analyse mehrerer BrazKing-Proben veröffentlicht haben. Bisher sind die Experten zuversichtlich, dass BrazKing noch in der Entwicklung ist aufgrund der erheblichen Unterschiede, die in den neueren Versionen der Bedrohung eingeführt wurden.
Inhaltsverzeichnis
Missbrauch des barrierefreien Dienstes von Android
Die Funktion Barrierefreiheit soll die Nutzung des Mobilgeräts für Menschen mit Behinderungen komfortabler machen. Jedoch, Cyberkriminelle haben es auf den Punkt gebracht und nutzen den Dienst aus, um zahlreiche schändliche Aktionen auf den infizierten Geräten durchzuführen. BrazKing setzt umfassend auf den Accessibility-Dienst, da die Bedrohung dadurch die Anzahl der spezifischen Berechtigungen begrenzen kann, die der Benutzer erteilen müsste. Infolgedessen bittet BrazKing um eine kleine Anzahl weniger verdächtiger Berechtigungen.
Im Hintergrund kann BrazKing Bildschirmtipps simulieren, Keylogging-Routinen einrichten, als RAT (Remote Access Trojan) fungieren, SMS abfangen und lesen, indem der Text der Nachrichten auf dem Bildschirm angezeigt wird, und auf die Kontaktlisten des Benutzers zugreifen, indem sie lautlos vom Bildschirm „Kontakte“ lesen. Die Bedrohung richtet auch einen Persistenzmechanismus ein, der auf den Funktionen des Accessibility-Dienstes basiert. Wenn Benutzer versuchen, das infizierte Gerät auf die Werkseinstellungen zurückzusetzen, simuliert BrazKing sofort ein Tippen auf die Schaltflächen „Zurück“ und „Home“. Die gleiche Technik wird auch verwendet, um zu verhindern, dass Benutzer Anti-Malware-Lösungen starten oder versuchen, einen Scan des Geräts durchzuführen.
Infektionsvektor
Opfer werden durch Phishing-Nachrichten mit der URL einer Hoax-Website dazu verleitet, die Bedrohung zu installieren. Die betrügerische Website verwendet Schreckenstaktiken wie die Behauptung, dass das Gerät des Benutzers veraltet ist und blockiert wird. Um dieses nicht vorhandene Problem zu beheben, werden Benutzer angewiesen, auf die bereitgestellte Schaltfläche zu klicken, die angeblich das Betriebssystem des Geräts "aktualisieren" soll. In Wirklichkeit wird es die BrazKing Android-Malware liefern. Benutzer müssen den Download dennoch genehmigen, da die Anwendung von einer unbekannten Quelle stammt. Danach versucht die Bedrohung, die kleinen Berechtigungen zu erhalten, die sie benötigt, um sie als Google-Anforderungen zu maskieren.
Overlay-Angriffe
Frühere BrazKing-Versionen holten den gefälschten Anmeldebildschirm für die anvisierten Bankanwendungen von einer hartcodierten URL. Neuere Versionen haben sich von dieser Technik entfernt, um schlanker, agiler und schwer fassbarer zu werden. Tatsächlich ruft die Bedrohung jetzt ihren Command-and-Control-Server (C2, C&C) automatisch an und fordert den erforderlichen Overlay-Bildschirm im Handumdrehen an. Die Cyberkriminellen bestimmen nun, wann eine geeignete App vom Opfer gestartet wird und wann der Credential-Grabbing-Prozess aktiviert wird, anstatt ihn einer automatisierten Funktion innerhalb der Bedrohung selbst zu überlassen.
Ein weiteres Merkmal der BrazKing-Angriffe ist, dass sie keine vom Benutzer genehmigte 'android.permission.SYSTEM_ALERT_WINDOW'-Berechtigung erfordern. Stattdessen lädt die Malware die URL des Overlay-Bildschirms in eine Webansicht und zeigt sie in einem Fenster an.
Mobile Banking-Malware entwickelt sich ständig weiter und Benutzer sollten die notwendigen Maßnahmen ergreifen, um ihre Geräte zu schützen und sich keinen unnötigen Risiken auszusetzen.
