Phishing-Kampagne mit Anubis-Malware zielt auf 250 Android-Apps

Neue, von Cofense entdeckte Angriffe können Keylogging durchführen, Daten stehlen und ein mobiles Gerät komplett entführen.

Eine neue Phishing-Kampagne versucht, ausgeklügelte Malware zu liefern, die ein Android-Mobilgerät vollständig entführen kann, um Benutzerdaten zu stehlen, einen Keylogger zu installieren und sogar die Daten eines Geräts gegen Lösegeld zu behalten.

Die Angriffe sind für mobile Posteingänge konzipiert und nutzen die Anubis-Malware, einen ausgeklügelten Trojaner, der ursprünglich zur Cyber-Spionage verwendet und später als Bank-Trojaner wiederverwendet wurde. Laut den Forschern von Cofense, die die Kampagne entdeckt haben, zielt die Malware auf mehr als 250 Android-Apps mit maßgeschneiderten Anmelde-Overlay-Bildschirmen, die dazu dienen, die in die Apps eingegebenen Zugangsdaten zu erfassen.

Die Nachrichten enthalten Links zu einer Android Package Kit (APK)-Datei, die, wenn sie heruntergeladen und ausgeführt wird, eine gefälschte Version von "Google Play Protect" startet. Als Nächstes versucht der Installationsprozess, den Nutzer dazu zu bringen, einer nicht signierten Android-App auf dem Zielgerät zuzustimmen, die dem Gegner die vollständige Kontrolle über das Zielhandgerät geben würde.

Der Angriff umfasst zunächst eine typische Phishing-E-Mail, in der die Nutzer aufgefordert werden, eine Rechnung von einer E-Mail herunterzuladen, die anscheinend von einem vertrauenswürdigen Kontakt stammt, wie ein am Donnerstag von Cofense-Forscher Marcel Feller veröffentlichter Blog besagt.

"Wenn der E-Mail-Link von einem Android-Gerät aus geöffnet wird, wird eine APK-Datei (Fattura002873.apk) heruntergeladen", schrieb Feller. "Beim Öffnen der Datei wird der Nutzer gebeten, 'Google Play Protect' zu aktivieren... Dies ist jedoch kein echter 'Google Play Protect'-Bildschirm; stattdessen gibt er der App alle erforderlichen Berechtigungen, während er gleichzeitig den eigentlichen Google Play Protect deaktiviert.

Der Name der Malware, Anubis, ist eine Anspielung auf den altägyptischen Gott der Einbalsamierung und der Toten, der oft als halber Mensch und Schakal dargestellt wird.

Die Kampagne scannt hauptsächlich Telefone nach Bank- und Finanzanwendungen, sucht aber auch nach beliebten Marktplatzanwendungen wie eBay oder Amazon, um relevante Finanzdaten der Benutzer zu stehlen.

"Sobald eine Anwendung identifiziert wurde, überlagert Anubis die Originalanwendung mit einer gefälschten Anmeldeseite, um die Anmeldedaten des Benutzers zu erfassen", schrieb er.

Wenn die Malware installiert ist, gehören zu den Möglichkeiten der Malware das Aufnehmen von Screenshots, das Aktivieren oder Ändern von Verwaltungseinstellungen, das Öffnen und Aufrufen einer beliebigen URL, das Aufzeichnen von Audio und das Einleiten von Telefongesprächen.

"Anubis kann ein Android-Mobilgerät vollständig entführen, Daten stehlen, Telefongespräche aufzeichnen und sogar das Gerät gegen Lösegeld halten, indem er die persönlichen Dateien des Opfers verschlüsselt", schrieb Feller.

Anubis-Proben wurden in freier Wildbahn identifiziert, die im Rahmen anderer Kampagnen verwendet werden, nachdem der Schauspieler angeblich verhaftet wurde und der Quellcode der Malware im vergangenen Jahr durchgesickert ist. Im November tauchte zum Beispiel Code von Anubis in einer neuen benutzerdefinierten Mobile-Banking-Malware für Android auf, die den Namen Gnip trug.

Die neue Kampagne, die mehrere Iterationen des Betriebssystems Android betrifft und auf die Version 4.0.3 zurückgeht, kombiniert verschiedene schändliche Funktionen in einem Paket, darunter Keylogging, das Stehlen von Berechtigungsnachweisen und sogar ein Lösegeldmodul, das den internen und externen Speicher eines Geräts durchsucht und mit RC4 verschlüsselt, stellte Feller fest. Cofense gibt nicht die gesamte Palette der Android-Betriebssystemversionen an, die möglicherweise betroffen sind.

Während die Kampagne in erster Linie mobile Verbraucher in Gefahr bringt, bedroht sie auch das Unternehmen und die Unternehmensumgebungen aufgrund der zunehmenden Verwendung von BYOD-Richtlinien, sagte der Forscher. Diejenigen, die bei der jüngsten Kampagne am meisten gefährdet sind, sind Benutzer, die ihr Android-Mobilgerät so konfiguriert haben, dass sie arbeitsbezogene E-Mails erhalten und die Installation nicht signierter Anwendungen zulassen.

Die Kampagne umfasst auch einen Keylogger, der in jeder auf dem Zielgerät installierten Anwendung funktioniert. Der Keylogger ist jedoch eine Funktion, die erst nach der Infektion eingesetzt wird, und wird über den Command-and-Control-Server des Angreifers ferngesteuert aktiviert, schrieb Feller.

Um nicht Opfer dieses jüngsten Phishing-Angriffs zu werden, empfiehlt Cofense, die Installation von Anwendungen auf Unternehmensgeräten einzuschränken und nur Anwendungen zu verwenden, die von vertrauenswürdigen Entwicklern erstellt wurden und die sie von offiziellen Marktplätzen herunterladen, fügte er hinzu.

Anzeige

Anzeige