Threat Database Banking Trojan MalRhino Android Banking-Trojaner

MalRhino Android Banking-Trojaner

Der Android-Banking-Trojaner MalRhino ist die zweite Bedrohung aus einer nicht klassifizierten Malware-Familie, die von Check Point Research entdeckt wurde. Während die Bedrohungsakteure mit ihren anderen bedrohlichen Kreationen namens PixStealer einen minimalistischen Ansatz verfolgten, entspricht MalRhino eher typischen Android-Banking-Trojanern. Das bedeutet nicht, dass die Bedrohung nicht mit mehreren neuen oder selten gesehenen Techniken ausgestattet ist. Die Verbindung zwischen den beiden Bedrohungen wurde anhand von Ähnlichkeiten in ihren Manifesten, Protokollmeldungen, Dienst- und Methodennamen usw. hergestellt.

MalRhino-Analyse

Die Bedrohung missbraucht auch den Android Accessibility Service, um seine schädlichen Aktionen auszuführen. Zweck des Accessibility Service ist es, Menschen mit Behinderungen die Steuerung des Geräts zu erleichtern. Hackern sind schnell die zahlreichen Funktionen aufgefallen, die dadurch verfügbar sinds und haben den Dienst in ihren Malware-Kreationen ausgenutzt. So können sie beispielsweise die Aktivitäten auf dem Bildschirm des Geräts überwachen und abfangen. Darüber hinaus können die Angreifer Klicks und Taps simulieren, als ob der Benutzer sie gemacht hätte.

Allerdings ist die Art und Weise, wie MalRhino in der Lage ist, Accessibility-Ereignisse dynamisch zu verarbeiten, ziemlich interessant. Die Bedrohung verwendet JavaScript über das Rhino-Framework von Mozilla. Die Angreifer können dann die am häufigsten ausgeführte Anwendung scannen. Wenn es mit einer der Zielanwendungen übereinstimmt, können die Hacker ihren Remote-Zugriff nutzen, um bestimmten Code auszuführen. Das letzte Mal, dass Check Point-Forscher diese Technik in einer Malware-Bedrohung beobachteten, war im Jahr 2016 als Teil der Xbot-Banker-Malware.

MalRhinos Angriffskette

Die Bedrohung wird über gefälschte Versionen der iToken-Anwendung der brasilianischen Interbank verbreitet. Der Paketname der trojanisierten Anwendung lautet „com.gnservice.beta" und könnte darauf hindeuten, dass sich die Bedrohung noch in einem frühen Entwicklungsstadium befindet. Es sei darauf hingewiesen, dass die gefälschte Anwendung im offiziellen Google Play Store zum Download zur Verfügung stand.

Sobald sich MalRhino im Gerät des Opfers befindet, zeigt eine Nachricht an, in der nach Zugriffsberechtigungen gefragt wird. Um den Benutzer zu täuschen, gibt die Anwendung vor, dass sie eine Berechtigung benötigt, um ordnungsgemäß zu funktionieren. Im Erfolgsfall kann der Trojaner gezielte Anwendungen ausführen (hauptsächlich Bankanwendungen, Gerätedaten und die Liste der installierten Apps sammeln und die erfassten Informationen an seinen Command-and-Control-Server (C&C, C2) senden. Bedrohungsfunktion beinhaltet das Abrufen des PIN-Codes aus der Nubank-App.

Die MalRhino-Bedrohung zeigt außerdem, dass bei der Erteilung von Berechtigungen für die Anwendungen auf ihren Geräten Vorsicht geboten ist, selbst wenn die Anwendungen über offizielle Store-Plattformen installiert wurden.

Im Trend

Am häufigsten gesehen

Wird geladen...