Banking-Trojaner, Keylogger und Ransomware für Smartphones – diese neue Android-Malware vereint alles und stellt deswegen eine riesige Gefahr für alle Handynutzer dar.
MysteryBot, so der Name der neuen Schadsoftware, wurde vor kurzem von den Sicherheitsforschern von ThreatFabric entdeckt und zuerst nur für eine verbesserte Version von LokiBot gehalten. Ein genauerer Blick zeigte jedoch schnell, dass der Bot zwar höchstwahrscheinlich von den gleichen kriminellen Köpfen entwickelt wurde, aber mit einem komplett neuem Namen, Logo und jeder Menge neuer Funktionen ausgestattet ist.
Der Bot im Detail
Verkleidet als Flash Player-App
Flash mag zwar im Jahr 2020 von der Bildfläche verschwinden, bis dahin ist es aber noch lang hin und es gibt entsprechend viele Seiten, die den Player noch nutzen. Das ist auch der Grund dafür, dass es Apps wie MysteryBot weiterhin ohne Schwierigkeiten gelingen kann, sich als Adobe Flash-App zu tarnen und so auf das Handy der potentiellen Opfer zu gelangen. Danach startet der Bot die für bösartige Anwendungen übliche Routine: Es wird nach Rechten gefragt. Sind diese erst einmal gewährt, legt die Schadsoftware sofort los.
Eine Malware, viele Funktionen
Sobald der MysteryBot es sich auf dem Gerät des Opfers bequem gemacht hat, können vom Hacker die folgenden eingebauten Befehle ausgeführt werden:
- CallToNumber — Ruft vom infizierten Gerät eine angegebene Telefonnummer an.
- Contacts — Ruft die Kontaktinformationen ab (Telefonnummer und Namen der Kontakte).
- De_Crypt — In der Entwicklung (wahrscheinlich da, um Daten zu entschlüsseln / Ransomware freigeben).
- ForwardCall — Leitet eingehende Anrufe an eine andere Nummer weiter.
- GetAlls — Kurzform von GetAllSms, kopiert alle SMS des Geräts.
- GetMail — In der Entwicklung (wahrscheinlich da, um die Emails des Geräts zu stehlen).
- Keylogg — Kopiert und speichert alle Tastenanschläge, die auf dem infizierten Gerät gemacht werden.
- ResetCallForwarding — Stoppt das Weiterleiten eingehender Anrufe.
- Screenlock — Verschlüsselt alle Dateien im „External Storage Directory“ und löscht alle Kontaktinformationen auf dem Gerät.
- Send_spam — Versendet eine vorgegebene SMS an jeden Kontakt aus dem Adressbuch des Geräts.
- +Smsmnd — Ersetzt den eigentlichen SMS-Manager des Geräts; zum SMS abfangen.
- StartApp — In der Entwicklung (wahrscheinlich da, um Anwendungen auf dem infizierten Gerät zu starten).
- USSD — Ruft eine USSD-Nummer vom infizierten Gerät auf.
- dell_sms — Löscht alle SMS auf dem Gerät.
- send_sms — Versendet eine vorgegebene SMS an eine bestimmte Nummer.
Phishing ausgeklügelter denn je
Die obige Liste ist schon ziemlich eindrucksvoll, aber das ist noch nicht alles. Der Bot nutzt eine neue Technik, um Phishing-Screens – also Login-Seiten die den echten zum verwechseln ähnlich sind, aber die Informationen der Nutzer abfangen sollen – unbemerkt auf die eigentlichen Anwendungen zu schieben. Aufgrund einiger Einschränkungen diverser Kontrollmechanismen, wie zum Beispiel Security Enhanced Linux (SELinux), wurde das Malware-Erstellern in der Vergangenheit ziemlich schwer gemacht. Die Kriminellen, die hinter dem MysteryBot stehen, scheinen das System aber ausgehebelt zu haben: Das Overlay funktioniert auf Android 7 und 8 und zielt auf über 100 Anwendungen ab. Darunter befinden sich auch Apps fürs mobile Banking sowie Social Media-Apps.
Ein neuartiger Keylogger
Wenn es schon um Innovation geht: Der Bot nutzt auch eine neue Methode um aufzuzeichnen, was gerade geschrieben wird. Anstatt jedes Mal wenn der Nutzer die Tastatur auf dem Bildschirm antippt einen Screenshot zu machen, berechnet der MysteryBot wo genau auf dem Display sich die Keys des Keyboards befinden sollten. Dank des darüber generierten Grids kann er nun erraten, was geschrieben wird. Während diese Funktion laut ThreatFabrik noch nicht funktioniert, ist es doch wahrscheinlich, dass das nicht lange so bleiben wird.
Mystery_L0cker – die Ransomware
Zu guter Letzt gibt es im MysteryBot auch eine eingebraute Ransomware. Anstatt die Dateien jedoch einfach alle zu verschlüsseln, werden sie einzeln in mit einem Passwortschutz versehene .zip-Archive gesteckt. Wenn der Vorgang erledigt ist, bekommt das Opfer einen Text angezeigt der ihm sagt es habe sich pornographische Inhalte angesehen und solle eine bestimmte Emailadresse kontaktieren.
Das Ransomware-Modul ist laut den Forschern wohl etwas schlampig erstellt worden. Das für die .zip-Dateien generierte Passwort ist lediglich 8 Zeichen lang und beinhaltet Groß-und Kleinbuschstaben aus dem lateinischen Alphabet sowie Zahlen. Diese Einschränkungen sorgen dafür, dass es nur eine kleine Anzahl an Passwörtern gibt die generiert werden können und man per Bruteforce-Verfahren einfach heran kommen kann.
Wie kann man sich vor so einer Gefahr schützen?
„MysteryBot befindet sich immer noch in der Entwicklung und ist zu dem Zeitpunkt, an dem der Artikel geschrieben wurde, kaum verbreitet“, beenden die Sicherheitsforscher ihren Blog. Während das natürlich sicher stimmt, ist es nur eine Frage der Zeit bis er fertiggestellt ist und sein Unwesen treib – außerdem gibt es noch viele andere gefährliche Malware-Apps die Handys und Tablets weltweit bedrohen.
Wie kann man sich also schützen?
- Stellen Sie sicher, dass Sie über einen guten und aktuellen Antivirenschutz verfügen. Fabian Sanz, Security Researcher der Avira Protection Labs sagt dazu: „Der MysteryBot, der gerade aufgetaucht ist, befindet sich zwar noch in der Entwicklung, sein Potential ist aber jetzt schon vernichtend.
Die Avira Protection Labs werden diese Malware und die von ihr ausgehende Gefahr im Auge behalten, um unsere Nutzer auch in Zukunft bestmöglichst davor zu schützen.“ - Laden Sie nur Apps aus dem offiziellen Google Play Store auf Ihr Phone. Bösartige Anwendungen können zwar auch dort vertreten sein, die Wahrscheinlichkeit ist aber entsprechend gering.
- Nutzen Sie Ihren Kopf. Wenn eine App zu viele Rechte einfordert, dann sollten Sie erst einmal schauen warum. Das gilt vor allem dann, wenn es um die Bedienungshilfen-Dienste geht. Die Rechte dazu werden nämlich hauptsächlich von Ransomware und Keyloggern angefragt, aber kaum von anderen Apps.
Dieser Artikel ist auch verfügbar in: Englisch