Schadsoftware nutzt Entwicklerplattform
TrustBastion: Android-Malware tarnt sich als Sicherheits-App und stiehlt Daten
Eine Android-Malware missbraucht die Plattform Hugging Face zur Verbreitung. Sie tarnt sich als Sicherheits-App und nutzt Bedienungshilfen, um sensible Daten zu stehlen.
Eine neue Android-Malware-Kampagne wurde von Bitdefender-Sicherheitsforschern entdeckt. Sie nutzt zur Verbreitung die Entwicklerplattform Hugging Face. Die Schadsoftware tarnt sich als Sicherheits-App namens "TrustBastion" und zielt darauf ab, sensible Nutzerdaten zu stehlen. Dabei nutzt s...
Eine neue Android-Malware-Kampagne wurde von Bitdefender-Sicherheitsforschern entdeckt. Sie nutzt zur Verbreitung die Entwicklerplattform Hugging Face. Die Schadsoftware tarnt sich als Sicherheits-App namens "TrustBastion" und zielt darauf ab, sensible Nutzerdaten zu stehlen. Dabei nutzt sie die Android-Bedienungshilfen, um umfassende Zugriffsrechte zu erlangen.
Download über bekannte Entwickler-Plattform
Die Malware-Kampagne beginnt mit der Installation einer scheinbar harmlosen App, die sich als Sicherheitslösung ausgibt. Bei der Anwendung handelt es sich um einen sogenannten Dropper, der zunächst keine schädlichen Funktionen zeigt. Nach der Installation fordert die App ein vermeintliches Update an, das in Wirklichkeit eine manipulierte APK-Datei herunterlädt. Dabei werden allerdings keine für Schadsoftware bekannten Server verwendet, sondern die bekannte Plattform Hugging Face.
Diese Plattform wird von Entwicklern häufig genutzt, was den Angreifern hilft, Sicherheitslösungen zu umgehen, da Verbindungen zu Hugging Face oft nicht als verdächtig eingestuft werden. Die Malware nutzt serverseitige Polymorphie, um regelmäßig neue Varianten der Schadsoftware zu generieren. Es sollen alle 15 Minuten neue Versionen hochgeladen werden, um signaturbasierte Virenscanner zu umgehen.
Innerhalb eines Monats wurden über 6000 unterschiedliche Varianten gezählt. Dies erschwert die Erkennung erheblich und zeigt die ausgeklügelte Natur der Kampagne.
Zugriff auf sensible Daten
Bei der Malware handelt es sich um einen Remote Access Trojaner (RAT). Die Tarnung als Sicherheits-App ermöglicht der Malware weitreichende Zugriffe auf das Smartphone. Die Schadsoftware gibt sich als Systemkomponente "Phone Security" aus und fordert die Aktivierung von Android-Bedienungshilfen.
Diese Berechtigungen erlauben es der App, Bildschirminhalte mitzulesen, Eingaben zu protokollieren und andere Anwendungen zu überlagern. Dies ermöglicht es, Zugangsdaten zu Zahlungsdiensten und anderen sensiblen Anwendungen abzugreifen. Die erbeuteten Informationen werden an einen zentralen Steuerungsserver übermittelt, der auch neue Befehle an das infizierte Gerät senden kann.
Schutz vor Malware
Grundsätzlich sollten Sie immer wachsam sein, wenn Sie eine neue App installieren. Wie das Beispiel zeigt, können auch auf bekannten Plattformen Gefahren lauern. Es ist ratsam, Google Play Protect zu aktivieren und ein Antivirusprogramm auf dem Smartphone zu nutzen. Bei Verdacht auf eine Infektion sollte die betroffene App umgehend entfernt und das Gerät auf Schadsoftware geprüft werden. Ein Zurücksetzen auf Werkseinstellungen kann ebenfalls sinnvoll sein. Ändern Sie außerdem Ihre Passwörter, wenn Sie Grund zur Annahme haben, dass diese gestohlen wurden.
