Ein neuer Banking-Trojaner wird zusätzlich Apps im Google Play Store verteilt. Die Android-Malware Vultur nutzt neue Methoden, um Bank-Daten zu stehlen.
© Google / Montage: connect
Die Sicherheitsfirma ThreatFabric berichtet zusätzlich verschmelzen bisher unbekannten Banking-Trojaner, den sie Vultur getauft nach sich ziehen. Er bedient sich bekannter Methoden zur Verbreitung, geht beim Sammeln von Daten zwar neue Wege. Die Android-Malware wurde in Apps entdeckt, die zusätzlich den Google Play Store verfügbar waren.
Banking-Trojaner nutzt Screen Recording
Vultur ist den Sicherheitsexperten von ThreatFabric erstmals im März 2021 aufgefallen. Die Malware konzentriert sich derzeit hauptsächlich darauf, Daten fürs Online-Banking zu stehlen. Ziele sind im Moment vor allem Apps von Banken in Australien, Spanien und Italien. Außerdem zählen Wallets zu Gunsten von Kryptowährungen und Social-Media- sowie Messenger-Apps zu den Angriffszielen.
Während die meisten Banking-Trojaner bisher vor allem mit Overlays funktionieren, dementsprechend ein Fenster zusätzlich dieser eigentlichen App einblenden, um die Login-Daten zu stehlen, nutzt Vultur Screen Recording und Keylogger. Wenn die Malware dementsprechend erkennt, dass eine zu Gunsten von die Angreifer interessante App geöffnet ist, wird dieser Bildschirminhalt aufgezeichnet und die Tastatureingaben werden mitprotokolliert. Dafür nutzt die Malware Funktionen zum Fernzugriff gen dasjenige Gerät.
Verbreitung zusätzlich Apps im Play Store
Zur Verbreitung nutzt Vultur eine schon bekannte Schadsoftware namens Brunhilda. Dabei handelt es sich um verschmelzen Viren-Dropper, dieser nachdem dieser Installation die eigentliche Malware nachlädt. Brunhilda ist schon im Zusammenhang mit anderen Banking-Trojanern wie Alien aufgefallen. Der Dropper war bisher vor allem in Fitness-Apps und Apps zur Zweifaktor-Authentifizierung (2FA) versteckt.
Auch im neoterisch untersuchten Fall steckte Brunhilda in 2FA-Apps im Google Play Store. ThreatFabric hatte eine App namens Protection Guard untersucht. Die App funktionierte zunächst wie erwartet. Allerdings wurde nachdem dieser Installation zusätzlich ein Update eine APK mit dieser Vultur-Malware nachgeladen. Die App wurde mehr wie 5.000 Mal heruntergeladen, ehe sie aus dem Google Play Store weit wurde.
Nach dieser Installation von Vultur verschleiert die Malware ihre Existenz, während sie dasjenige App-Icon versteckt. Außerdem macht sie die Deinstallation dieser App quasi unmöglich. Denn wenn man in den Einstellungen gen den Info-Bildschirm dieser App navigiert, aktiviert die Malware den Zurück-Button, so dass man in die Übersicht zurück geschickt wird und nicht gen "Deinstallieren" tippen kann. Hierfür nutzt die Malware Berechtigungen zu Gunsten von die Bedienhilfen.
Quelle: www.connect.de