Ein komplett leer geräumtes Konto kann die Folge einer gefährlichen Malware sein, vor der Sicherheitsforscher aktuell warnen. Auch für deutsche Android-User besteht die Gefahr, Opfer der Betrüger zu werden. Der Trojaner tarnt sich vorwiegend als Banking-App, Google-Dienst oder allgemeine Sicherheitsanwendung.
Was steckt hinter „DroidBot“?
Bei der Malware, vor der die Cybersecurity-Forscher von Cleafy warnen, handelt es sich um einen sogenannten Remote-Acess-Trojaner, kurz RAT, für das Android-Betriebssystem. Dahinter sollen Personen aus der Türkei stecken, die den kriminellen Dienst gegen Geld anbieten – das wird als „Malware-as-a-Service“ bezeichnet. Schon seit Juni dieses Jahres ist die gefährliche Schadsoftware im Umlauf und tauchte nach Angaben der Cleafy-Sicherheitsforscher nicht nur in Deutschland, sondern auch in anderen europäischen Ländern wie Italien oder Frankreich auf. Bei „DroidBot“ wird Dual-Channel-Kommunikation genutzt. Das bedeutet, ausgehende Daten werden über MQTT (Message Queuing Telemetry Transport) übertragen und eingehende Befehle wiederum über HTTPS (Hypertext Transfer Protocol) empfangen.
„Über Message Queuing stellen Angreifer sicher, dass die Daten, die sie abfangen wollen, gespeichert werden und regelmäßig bei ihnen ankommen. Das macht sie flexibel, weil HTTPS-Verbindungen eigentlich immer zugelassen werden. Gleichzeitig ist die Kommunikation verschlüsselt – das bedeutet, ihnen kann im Grunde niemand dazwischenfunken oder reinschauen“, erklärt Cybersicherheits-Experte Manuel Atug.
Weshalb ist die Malware so gefährlich?
Auf das Gerät der Betroffenen gelangt der RAT über das Downloaden von Anwendungen aus unsicheren Quellen – also, wenn Apps nicht aus den offiziellen App-Stores heruntergeladen werden. Um die potenziellen Opfer in die Falle zu locken, werden auch „Lockvögel“ eingesetzt, die die Android-User dazu verleiten, auf infizierte Links zu klicken oder schadhafte Dateien zu öffnen. Hierfür setzen die Täter unter anderem auf Fake-Apps von bekannten Unternehmen wie DHL. Dem Betroffenen wird dann suggeriert, dass sein Paket umgeleitet wurde und ein Link geöffnet werden muss. Teilweise kommen auch sehr personalisierte Betrugsversuche zum Einsatz, sodass die User nicht damit rechnen, dass es sich um eine betrügerische Masche handelt. „DroidBot“ kombiniert laut Cleafy-Forschern Overlay-Angriffstechnik mit versteckter VNC-Angriffstechnik. Dadurch ist unter anderem eine Überwachung der Benutzeroberfläche möglich. Die Kriminellen können aus der Ferne auf das Smartphone oder Tablet zugreifen. All das passiert, ohne dass der Geräte-Nutzer etwas bemerkt. Des Weiteren ermöglicht die Malware, alles, was der User macht, aufzuzeichnen. Die Täter können, wenn der Trojaner erst einmal auf dem Android-Gerät gelandet ist, vielfältigen Schaden anrichten. So ist es ihnen unter anderem möglich, SMS abzufangen, wodurch die 2-Faktor-Authentifizierung beim Online-Banking ausgehebelt werden kann. Zudem können sensible Informationen wie Passwörter erfasst werden, da sie sehen, was der Nutzer auf seinem Smartphone eintippt. Dadurch kann durch den Trojaner sogar das gesamte Konto leer geräumt werden, wenn die Betrüger an die Log-in-Daten des Online-Bankings gelangen.
Wie können sich Android-User schützen?
Der beste Schutz vor der Malware ist, auf das Herunterladen von Apps aus unseriösen Quellen zu verzichten. Anwendungen sollten stets nur über die offiziellen App-Stores installiert werden. Doch selbst das ist nicht immer hundertprozentig sicher. Denn auch im offiziellen Google-Play-Store wurden bereits bösartige Apps entdeckt. Um sich bestmöglich zu schützen, sollten Verbraucher sich nicht von Dritten unter Druck setzen lassen, Links zu öffnen oder Anwendungen zu installieren. Bevor etwas heruntergeladen wird, sollte gründlich überprüft werden, ob die entsprechende Anwendung aus sicherer Quelle stammt. Da viele Schadprogramme tiefgreifende Änderungen am System vornehmen und dadurch Daten verloren gehen können, sind regelmäßige Backups zu empfehlen. Das Betriebssystem selbst sowie sämtliche Apps und Anwendungen sollten durch Updates stets auf dem neuesten Stand gehalten werden. Wer von dem Trojaner betroffen ist, sollte dies zudem bei der örtlichen Polizeidienststelle zur Anzeige bringen.
Hinterlasse jetzt einen Kommentar