Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware TsarBot Banking-Trojaner

TsarBot Banking-Trojaner

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:
Deutsch

Die neu entdeckte Android-Malware TsarBot hat sich zu einer ernsthaften Cyberbedrohung entwickelt. Sie zielt auf über 750 Anwendungen aus den Bereichen Bankwesen, Finanzen, Kryptowährungen und E-Commerce ab und stellt ein ernstes Risiko für die sensiblen Daten der Nutzer dar.

Wie TsarBot Ihre Daten sammelt

TsarBot ist ein hochentwickelter Banking-Trojaner, der mit Overlay-Angriffen Bankdaten, Anmeldeinformationen und Kreditkarteninformationen stiehlt. TsarBot ist in verschiedenen Regionen aktiv – darunter Nordamerika, Europa, Asien-Pazifik und der Nahe Osten – und nutzt irreführende Taktiken, um Geräte zu infiltrieren und Daten nahtlos abzugreifen.

So verbreitet sich TsarBot: Fallen und Tricks

TsarBot verbreitet sich hauptsächlich über bösartige Websites, die als Finanzplattformen getarnt sind. Ein bemerkenswertes Beispiel ist eine gefälschte Version der dezentralen Handelsplattform Photon SOL, die Nutzer dazu verleitet, eine betrügerische Handels-App herunterzuladen. Darüber hinaus spielen Phishing- und Social-Engineering-Taktiken eine wichtige Rolle bei der Verbreitung.

Malware wie TsarBot ist oft in scheinbar harmlosen Inhalten eingebettet und erreicht Benutzer über Drive-by-Downloads, Malvertising, Online-Taktiken, fragwürdige Downloadquellen, Spam-E-Mails, gefälschte Updates und Raubkopien. Einige Varianten können sich sogar selbst über lokale Netzwerke und USB-Sticks verbreiten, was ihre Eindämmung noch schwieriger macht.

So funktioniert TsarBot: Ein Meister der Täuschung

Nach der Installation – oft getarnt als Google Play Services – führt TsarBot einen Overlay-Angriff aus, indem er gefälschte Anmeldebildschirme über legitimen Anwendungen anzeigt. So kann er Anmeldeinformationen sammeln, ohne Verdacht zu erregen.

Neben Overlay-Angriffen nutzt TsarBot fortschrittliche Techniken wie Bildschirmaufzeichnung, Fernsteuerung infizierter Geräte und Lock-Grabbing-Mechanismen, die PINs und Passwörter mithilfe gefälschter Sperrbildschirme erfassen. TsarBot kann außerdem Benutzeraktionen wie Wischen und Tippen simulieren und seine Aktivitäten mit einem schwarzen Overlay-Bildschirm verbergen.

Die Command-and-Control (C&C)-Verbindung

TsarBot kommuniziert über WebSocket-Verbindungen mit seinem Command-and-Control-Server (C&C). Dies ermöglicht Datendiebstahl und betrügerische Aktivitäten in Echtzeit. Über diese Verbindungen kann die Malware Bildschirme manipulieren, Gesten ausführen und mit Zielanwendungen interagieren.

Die Malware führt eine aktuelle Liste der Zielanwendungen, darunter Bankplattformen aus Indien, Frankreich, Polen und Australien, Kryptowährungshandel und Social-Media-Anwendungen. Wenn Nutzer mit diesen Anwendungen interagieren, blendet TsarBot eine gefälschte Phishing-Seite ein, um Anmeldeinformationen zu sammeln, und überträgt die gesammelten Daten an seinen C&C-Server.

So schützen Sie sich vor TsarBot

Zum Schutz vor Bedrohungen wie TsarBot empfehlen Cybersicherheitsexperten:

  • Vermeidung nicht vertrauenswürdiger App-Quellen und Drittanbieter-Stores
  • Vorsicht vor Phishing-Links und verdächtigen Websites
  • Aktivieren von Google Play Protect für zusätzliche Sicherheit
  • Regelmäßige Aktualisierung der Geräte zum Beheben von Schwachstellen
  • Verzichten Sie auf den Download von Raubkopien oder gecrackter Software

Da Android-Banking-Trojaner immer ausgefeilter werden, müssen Benutzer wachsam bleiben und proaktive Sicherheitsmaßnahmen ergreifen, um ihre Daten zu schützen.

Im Trend

Am häufigsten gesehen

Wird geladen...