Fernzugriff auf Smartphones
Octo: Neuer Banking-Trojaner bedroht Android-Smartphones
Ein neuer Trojaner ist unterwegs, der auch über den Google Play Store verteilt wird. Die Malware kann Smartphones fernsteuern und stiehlt unter anderem Bankdaten.
Smartphones sind laufend Attacken durch Malware ausgesetzt. Aktuell wurde wieder ein neuer Banking-Trojaner entdeckt, der Android-Smartphones bedroht. Die Fähigkeiten des Trojaners sind besonders heimtückisch und er versteckt sich teilweise auch in Apps aus dem Play Store.
Die Sicherheitsexperten von Threat Fabric haben den Trojaner entdeckt und seine Hintergründe erforscht. Demnach gehört die Malware Octo zur bekannten Exobot-Familie, die bereits seit 2018 ihr Unwesen treibt. Die neueste Version, die erst in den letzten Monaten aufgetaucht ist, verfügt über eine Fernzugriffsfunktion. Damit kann das Smartphone aus der Ferne gesteuert werden. Threat Fabric verfolgt die Version unter dem Namen ExobotCompact.D.
Wie arbeitet die Malware?
Für den Fernzugriff wird der Bildschirminhalt über MediaProjection von Android live gestreamt und über den Accessibility Service werden Eingaben aus der Ferne ermöglicht. Somit können Angreifer die Bildschirminhalte sehen und Aktionen auf dem Smartphone ausführen. Um dies zu verdecken, wird ein schwarzes Overlay eingeblendet. Außerdem werden Benachrichtigungen deaktiviert. So scheint es, als wäre das Smartphone inaktiv, während die Angreifer unbemerkt auf dem Smartphone ihr Unwesen treiben.
Über die Malware können Angreifer etwa Texte eingeben, die Zwischenablage kopieren, SMS und Benachrichtigungen abfangen oder Daten verschicken. Über einen Keylogger können auch Passwörter abgegriffen werden. Somit ist es für die Angreifer möglich, etwa auf Banking-Apps zuzugreifen und dabei die Zweifaktor-Authentifizierung zu umgehen.
Wie wird der Trojaner verteilt?
Der Autor des Trojaners vermietet diesen übers Darknet, so dass hinter den Octo-Angriffen keine einheitliche Kampagne steckt. Oft wird der Trojaner über manipulierte Webseiten verteilt, auf die Nutzer etwa durch Links in SMS-Nachrichten gelockt werden sollen, das sogenannte Smishing. Die Malware wird dabei gerne als Browser-Update getarnt.
Aber auch im Google Play Store sind Apps aufgefallen, die den Octo-Trojaner verteilen. Dazu zählt etwa die App Fast Cleaner, die im Februar bereits mit dem Trojaner Xenomorph aufgefallen war und mittlerweile aus dem Play Store entfernt wurde. In Deutschland und Österreich scheint es ein Angreifer auf Banken und Kreditinstitute abgesehen zu haben und nutzt deren Namen und Logos, um Nutzer zum Herunterladen der Apps zu animieren.
Weiter zur Startseite
