Inhalt:
Ein neuer Banking-Trojaner wird über Apps im Google Play Store verteilt. Die Android-Malware Vultur nutzt neue Methoden, um Bank-Daten zu stehlen.
© Google / Montage: connect
Die Sicherheitsfirma ThreatFabric berichtet über einen bisher unbekannten Banking-Trojaner, den sie Vultur getauft haben. Er bedient sich bekannter Methoden zur Verbreitung, geht beim Sammeln von Daten aber neue Wege. Die Android-Malware wurde in Apps entdeckt, die über den Google Play Store erhältlich waren.
Banking-Trojaner nutzt Screen Recording
Vultur ist den Sicherheitsexperten von ThreatFabric erstmals im März 2021 aufgefallen. Die Malware konzentriert sich derzeit hauptsächlich darauf, Daten fürs Online-Banking zu stehlen. Ziele sind im Moment vor allem Apps von Banken in Australien, Spanien und Italien. Außerdem zählen Wallets für Kryptowährungen und Social-Media- sowie Messenger-Apps zu den Angriffszielen.
Während die meisten Banking-Trojaner bisher vor allem mit Overlays arbeiten, also ein Fenster über der eigentlichen App einblenden, um die Login-Daten zu stehlen, nutzt Vultur Screen Recording und Keylogger. Wenn die Malware also erkennt, dass eine für die Angreifer interessante App geöffnet ist, wird der Bildschirminhalt aufgezeichnet und die Tastatureingaben werden mitprotokolliert. Dafür nutzt die Malware Funktionen zum Fernzugriff auf das Gerät.
Verbreitung über Apps im Play Store
Zur Verbreitung nutzt Vultur eine bereits bekannte Schadsoftware namens Brunhilda. Dabei handelt es sich um einen Viren-Dropper, der nach der Installation die eigentliche Malware nachlädt. Brunhilda ist bereits im Zusammenhang mit anderen Banking-Trojanern wie Alien aufgefallen. Der Dropper war bisher vor allem in Fitness-Apps und Apps zur Zweifaktor-Authentifizierung (2FA) versteckt.
Auch im aktuell untersuchten Fall steckte Brunhilda in 2FA-Apps im Google Play Store. ThreatFabric hatte eine App namens Protection Guard untersucht. Die App funktionierte zunächst wie erwartet. Allerdings wurde nach der Installation über ein Update eine APK mit der Vultur-Malware nachgeladen. Die App wurde mehr als 5.000 Mal heruntergeladen, bevor sie aus dem Google Play Store entfernt wurde.
Nach der Installation von Vultur verschleiert die Malware ihre Existenz, indem sie das App-Icon versteckt. Außerdem macht sie die Deinstallation der App quasi unmöglich. Denn sobald man in den Einstellungen auf den Info-Bildschirm der App navigiert, aktiviert die Malware den Zurück-Button, so dass man in die Übersicht zurück geschickt wird und nicht auf "Deinstallieren" tippen kann. Hierfür nutzt die Malware Berechtigungen für die Bedienhilfen.
Quelle: www.connect.de