ISGroup Cybersicherheitsberatung

Malware Android DroidBot: Banking- und Krypto-Apps im Visier durch Missbrauch von Bedienungshilfen

DroidBot ist eine neue Android-Banking-Malware, die erstmals im Juni 2024 identifiziert wurde. Sie operiert als Malware-as-a-Service (MaaS) und zielt auf über 77 Banking- und Kryptowährungs-Apps in ganz Europa ab, wobei Anzeichen für eine Ausweitung auf andere geografische Regionen erkennbar sind. Die Malware nutzt die Android-Bedienungshilfen (Accessibility Services), was es den Angreifern ermöglicht, Anmeldedaten zu stehlen, das Gerät zu manipulieren und es aus der Ferne zu steuern.

Datum05.12.2024 09:49:13
Informationen
  • Aktive Ausnutzung

Technische Zusammenfassung

DroidBot ist eine hochentwickelte Android-Malware, die über MaaS-Plattformen zu einem Preis von 3.000 US-Dollar pro Monat vertrieben wird. Sie wird von mindestens 17 angeschlossenen Bedrohungsakteuren genutzt, von denen jeder die Payloads individuell anpasst, um spezifische Anwendungen und Regionen anzugreifen. Die Malware tarnt sich häufig als legitime Apps wie Google Chrome, Google Play oder Android Security. Zu ihren Hauptfunktionen gehören:

  • Keylogging: Fängt alle vom Benutzer eingegebenen Tastenanschläge ab.
  • Overlaying: Zeigt gefälschte Anmeldebildschirme über den Oberflächen legitimer Banking- und Krypto-Apps an, um Anmeldedaten zu sammeln.
  • SMS-Abfangen: Fängt SMS-Nachrichten ab, insbesondere solche, die Einmalpasswörter (OTP) enthalten.
  • Fernsteuerung: Enthält ein VNC-Modul (Virtual Network Computing), das es Angreifern ermöglicht, das Gerät aus der Ferne zu steuern.

Die Nutzung der Bedienungshilfen durch DroidBot ermöglicht es der Malware, die Benutzeraktivitäten zu überwachen, Interaktionen zu simulieren und ihre eigene Präsenz zu verbergen, indem der Bildschirm des Geräts abgedunkelt wird.

Empfehlungen

Um sich vor DroidBot zu schützen:

  1. Bewährte Verfahren für die App-Installation:

    • Laden Sie Apps nur aus vertrauenswürdigen Quellen wie Google Play herunter.
    • Überprüfen Sie die App-Entwickler und analysieren Sie die Bewertungen sorgfältig vor dem Download.

  2. Bewusstsein für Berechtigungen:

    • Lehnen Sie unnötige oder verdächtige Berechtigungsanfragen ab, insbesondere den Zugriff auf die Bedienungshilfen.
    • Überprüfen Sie regelmäßig die Berechtigungen installierter Apps in den Geräteeinstellungen.

  3. Aktivierung von Sicherheitsfunktionen:

    • Aktivieren Sie Google Play Protect, um Scans durchzuführen und schädliche Apps zu blockieren.
    • Halten Sie das Android-Betriebssystem und alle Apps auf dem neuesten Stand, um Sicherheitslücken zu schließen.

  4. Überwachung und Reaktion:

    • Achten Sie auf Anzeichen für unbefugte Aktivitäten, wie z. B. Apps, die neue Berechtigungen anfordern, oder ein ungewöhnliches Verhalten des Geräts.
    • Deinstallieren Sie verdächtige Apps sofort und setzen Sie die Anmeldedaten potenziell kompromittierter Konten zurück.

  5. Unternehmenskontrollen anwenden (für Organisationen):

    • Nutzen Sie Lösungen für Mobile Device Management (MDM), um die Installation von Apps einzuschränken.
    • Schulen Sie Mitarbeiter hinsichtlich der Risiken von Phishing und Malware auf Mobilgeräten.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *