Eine neue bösartige Kampagne, die über eine Trojaner-App auf Android-Benutzer abzielt, wurde in freier Wildbahn entdeckt. Die Nutzlast der Kampagne ist der Vultur-Trojaner, der Bankdaten sammelt, unter anderen böswilligen Aktivitäten.
Der Täter, eine böswillige Zwei-Faktor-Authentifizierung (2FA) App, die mehr als zwei Wochen zum Download bereitstand, wurde heruntergeladen 10,000 mal. Die App war ein voll funktionsfähiger 2FA-Authentifikator (mit dem gleichen Namen) aber es kam mit einem "Bonus". Wenn Sie die 2FA Authenticator-App heruntergeladen haben, Sie sollten es sofort entfernen, da Sie immer noch exponiert sind, Pradeo-Forscher gewarnt.
Laut Pradeos Bericht:
Die Anwendung namens 2FA Authenticator ist ein Dropper, der genutzt wird, um Malware auf den Geräten seiner Benutzer zu verbreiten. Es wurde entwickelt, um legitim auszusehen und einen echten Service zu bieten. Um dies zu tun, seine Entwickler verwendeten den Open-Source-Code der offiziellen Aegis-Authentifizierungsanwendung, in die sie schädlichen Code einschleusten. Infolge, Die Anwendung wird erfolgreich als Authentifizierungstool getarnt, wodurch sichergestellt wird, dass sie unauffällig bleibt.
Jedoch, Die bemerkenswerteste Fähigkeit der Trojaner-App ist, dass sie wichtige Berechtigungen anfordern kann, die sie nicht in ihrem Google Play-Profil offenlegt. Dank dieser Berechtigungen, Die App kann die folgenden Aktivitäten auf einem kompromittierten Android-Gerät ausführen:
- Sammeln und senden Sie die Anwendungsliste und Lokalisierung der Benutzer an die Täter, damit sie die Informationen nutzen können, um Angriffe durchzuführen, die auf Personen in bestimmten Ländern abzielen, die bestimmte mobile Anwendungen verwenden, statt massiver ungezielter Angriffskampagnen, die riskieren würden, sie aufzudecken,
- Deaktivieren Sie die Tastensperre und jegliche damit verbundene Passwortsicherheit,
- Laden Sie Anwendungen von Drittanbietern in Form angeblicher Updates herunter,
- Führen Sie Aktivitäten frei durch, auch wenn die App ausgeschaltet ist,
- Überlagern Sie die Benutzeroberfläche anderer mobiler Anwendungen mit einer kritischen Berechtigung namens SYSTEM_ALERT_WINDOW, für die Google angibt: „Sehr wenige Apps sollten diese Berechtigung verwenden; diese Fenster sind für die Interaktion auf Systemebene mit dem Benutzer vorgesehen.“
Ein weiterer kürzlich bekannt gewordener Android-Trojaner ist der BRATA-Trojaner. Bedrohungsakteure haben den Trojaner verwendet, um „Betrug durch nicht autorisierte Überweisungen zu begehen“. Einige seiner Funktionen umfassen das Zurücksetzen des Geräts auf die Werkseinstellungen, GPS-Verfolgung, Nutzung mehrerer Kommunikationskanäle (wie HTTP und TCP), und in der Lage zu sein, die Bank-App des Opfers kontinuierlich über VNC zu überwachen (Virtual Network Computing) und Keylogging.