Android: Malware tarnt sich als Sicherheits-App
Android-Anwender sollten sich vor der neuen Malware "BingoMod" in Acht nehmen. Diese tarnt sich als Sicherheits-App und kann Geld entwenden, Daten löschen und das befallene Gerät komplett übernehmen.
Sicherheitsforscher von Cleafy haben einen neuen Remote-Access-Trojaner (RAT) entdeckt, der es auf Geräte mit Android-Betriebssystem abgesehen hat. Sein Name: BingoMod. Er führt sogenannte Overlay-Angriffe aus und ermöglicht den Fernzugriff auf die befallenen Geräte über eine Art Virtual Network Computing (VNC). Einmal auf dem Android-Gerät, versucht der RAT an Geld zu gelangen. Dafür späht er sensible Daten aus, um damit Accounts übernehmen zu können.
Vermeintliche Security-App
Entdeckt wurde der Trojaner bereits im Mai 2024. Er kann Authentifizierungs-, Verifizierungs- und Verhaltenserkennungsschutzmaßnahmen umgehen, indem er On-Device-Fraud (ODF) durchführt, wie dies auch bei anderen Banking-Trojanern wie Medusa, Copybara und Teabot der Fall ist. Besonders perfide: Der Trojaner "verkauft" sich als Sicherheits-App, wie beispielsweise "APP Protection", "AVG AntiVirus & Security" oder "WebSecurity". Nichtsahnende Nutzer sollen so zum Herunterladen und zur Installation bewegt werden.
Den Sicherheitsforschern von Cleafy zufolge verlangt BingoMod nach der Installation Zugriff auf Accessibility Services, um aktiv werden zu können und den schädlichen Payload auszuführen. Er liefert seinen Betreibern sensible Daten durch Key-Logging, bei dem Zugangsdienste ausgenutzt werden, um Anmeldedaten oder Kontostände zu stehlen. Auch per SMS verschickte TAN-Nummern werden abgefangen und an die Hintermänner weitergeleitet.
Angriff auf Banking-Apps
BingoMod bietet aktuell rund 40 Fernsteuerungsfunktionen, darunter Bildschirmsteuerung in Echtzeit. Sie nutzt die Media Projection API von Android, um Screenshots des Bildschirms zu erstellen und so einen umfassenden Überblick zu erhalten. Die Hacker können beliebige Befehle an die betroffenen Geräte senden, wodurch sie Banking-Apps angreifen und bis zu 15.000 Euro pro Transaktion stehlen können. Außerdem ermöglicht BingoMod seinen Betreibern den Versand von SMS, wodurch die Malware potenziell weiterverbreitet werden könnte.
Reset löscht Diebstahl-Beweise
Einfach entfernen lässt sich die Malware nicht. Wenn sie einmal auf einem Gerät installiert ist, wird der Benutzer daran gehindert, Systemeinstellungen zu bearbeiten, bestimmte Anwendungen zu blockieren und Anwendungen zu deinstallieren. Um Spuren zu verwischen, setzt BingoMod Code-Verschleierungstechniken ein, die es Sicherheitssoftware erschweren, sie zu erkennen. Einige Varianten der Malware können die Daten des Geräts durch einen Werksreset löschen, um Beweise für den Diebstahl zu beseitigen.
BingoMod zielt aktuell auf Geräte in englischer, rumänischer und italienischer Sprache ab. Die Sicherheitsforscher gehen davon aus, dass sich die Malware noch in der Entwicklungsphase befindet und die Betreiber mit Verschleierungstechniken experimentieren, um die Erkennungsraten von Antivirenlösungen zu senken.
Der Security-Anbieter 8com fordert in diesem Zusammenhang Android-Nutzer zu besonderer Vorsicht auf. Die Nutzer sollten nur Apps aus dem offiziellen Google Play Store installieren und auf Apps von anderen Webseiten verzichten.