Cerberus: Android Banking-Trojaner macht Smartphones unsicher

Ein neuer Trojaner-Typ wird von seinem Erschaffer im Web groß beworben. Bei Erfolg schickt Cerberus die gestohlenen Banking-Daten an den Server des Angreifers.

Der Markt für mobile Banking-Trojaner ist momentan ziemlich nebulös. Lange Zeit waren „Red Alert 2“-Trojaner der letzte Schrei, bis der dahinter stehende Hacker das Geschäft damit einstellte.

Die Lücke übernahm dann relativ schnell „Anubis“. Als der Macher dieser Malware verhaftet wurde, kamen eine ganze Welle an Anubis-Kopien auf den Markt, die mittlerweile aber kaum noch Support erhalten.

Beobachter des Marktes gehen deshalb davon aus, dass Cerberus diese Marktlücke schnell schließen könnte. Der Entwickler gibt an, dass er Cerberus privat schon seit zwei Jahren einsetzt.

Trojaner misst die Bewegung des Smartphones

Das Besondere an Cerberus ist die Arbeitsweise der Malware. Er liest die Daten des Bewegungssensors (Accelerator) aus und arbeitet nur, wenn er eine Bewegung erkennt.

Zusammen mit bekannten Methoden zur Verschleierung ist dieses Verfahren hocheffizient, wenn es darum geht, nicht entdeckt zu werden. Der Trojaner aktiviert sich erst wenn er eine gewisse Anzahl an Schritten gemessen hat.

Damit stellt er sicher, dass es sich um einen normalen Anwender und nicht um ein Testgerät oder eine Sandbox-Emulator handelt, wie er von Sicherheits-Experten für das Aufspüren von Malware verwendet wird.

Cerberus gibt sich als Flash Player aus

Der Hacker gibt an, mehrere Jahre an Cerberus gearbeitet zu haben. Zur Tarnung gibt sich die Malware als Flash-Player-App aus. Nach dem Start löscht der Trojaner seine Spuren, wie etwa das App-Icon.

Danach gibt sich Cerberus die Erlaubnis für Textnachrichten und Anrufe. Außerdem deaktiviert die Malware Google Play Protect um eine Entdeckung und Entfernung durch die Security-App zu vermeiden.

Wird Cerberus schließlich aktiv, legt er sich als „Overlay“ auf Banking-Apps, die der User nutzt. Diese Phishing-Methode lässt sich mit bloßem Auge nicht erkennen.

Meldet sich der User in diesem Fall an, werden die Login-Daten oder PINs an den Server des Angreifers geschickt. Insgesamt kann Cerberus die Overlay-Funktion bei rund 30 Apps anwenden.

Wir wissen soviel über Cerberus, da Threat Fabric eine Analyse vorgenommen hat. Allerdings wird der Banking-Trojaner auch sehr offen beworben. So betreibt der Entwickler etwa ein öffentliches Twitter-Konto und einen YouTube-Kanal.