Android-Malware
Banking-Trojaner tarnt sich als McAfee Security App
Der Banking-Trojaner Vultur ist weiterhin aktiv und wird auf neuen Wegen verbreitet - aktuell in einer gefälschten Sicherheits-App.
Der Banking-Trojaner Vultur war zuerst im März 2021 aufgetaucht. Seitdem ist die Malware auf Android-Smartphones aktiv und wird auch immer weiter entwickelt, um gängige Sicherheitsmechanismen zu umgehen. Aktuell setzen Angreifer auf eine neue Taktik, um den Trojaner zu verbreiten, und verstecken i...
Der Banking-Trojaner Vultur war zuerst im März 2021 aufgetaucht. Seitdem ist die Malware auf Android-Smartphones aktiv und wird auch immer weiter entwickelt, um gängige Sicherheitsmechanismen zu umgehen. Aktuell setzen Angreifer auf eine neue Taktik, um den Trojaner zu verbreiten, und verstecken ihn in einer Sicherheits-App.
Bei der aktuellen Version von Vultur setzen die Angreifer auf eine Kombination aus SMS und Telefonanrufen, wie ein Bericht von Fox IT nahe legt. Das Opfer soll dann dazu gebracht werden, eine präparierte App zu installieren, die als Dropper für den Trojaner dient.
Angebliche Sicherheits-App über SMS-Link
Der Angriff beginnt mit einer Phishing-SMS (Smishing), die vor einer nicht autorisierten Transaktion warnt, bei der es um eine große Geldmenge gehen soll. Dabei wird auf eine Telefonnummer verwiesen, die man anrufen soll. Am Telefon melden sich dann die Betrüger und suggerieren, dass das Smartphone von Malware infiziert sei.
Natürlich ist die angebliche Überweisung nicht echt und auch das Smartphone ist zu diesem Zeitpunkt (noch) nicht infiziert. Im Verlauf des Telefongesprächs soll man aber dazu gedrängt werden, eine App zu installieren, um die angebliche Malware vom Smartphone zu entfernen. In einer zweiten SMS erhält man hierfür einen Link. Dieser führt augenscheinlich zum Download der McAfee Security App, bei der es sich aber um eine präparierte App handelt.
Auf den ersten Blick wirkt die App authentisch. Sie soll oberflächlich auch Funktionen ausführen, die man von der echten McAfee Security App erwarten würde. Tatsächlich enthält die gefälschte Version der App aber den Dropper "Brunhilda", der anschließend in mehreren Stufen den Trojaner Vultur herunterlädt.
Vultur kontrolliert das Smartphone
Der Trojaner sichert sich Zugriff auf die Bedienhilfen, aktiviert Fernsteuerungssysteme und baut eine Verbindung zum Command-and-Control-Server (C2) auf. Über Bildschirmaufzeichnungen und Keylogger können Daten und Passwörter ausgelesen werden. In der neuen Version ist Vultur außerdem in der Lage, Dateien zu suchen und herunterzuladen, die Ausführung bestimmter Apps zu blockieren oder Statusanzeigen einzublenden. Somit gibt die Malware den Angreifern weitgehende Kontrolle über das Smartphone und kann gleichzeitig ihre Tätigkeiten verschleiern.
Um sich vor Malware zu schützen, wird grundsätzlich dazu geraten, Apps nur aus vertrauenswürdigen Quellen wie etwa dem Google Play Store zu beziehen. Vermeiden Sie es, auf Links in Nachrichten zu klicken. Außerdem sollten Sie, wenn Sie Hinweise auf verdächtige Bankaktivitäten erhalten, die Telefonnummer Ihrer Bank lieber in Ihren eigenen Unterlagen verifizieren und nicht die in der Nachricht angegebene Nummer wählen.
