Banking-Trojaner: Neue Android-Malware liest verschlüsselte Chats mit
Sicherheitsforscher von Threatfabric warnen vor einer neuen Android-Malware namens Sturnus. Laut dem Blogbeitrag der Forscher(öffnet im neuen Fenster) handelt es sich um einen Banking-Trojaner, der Angreifern eine vollständige Kontrolle infizierter Geräte ermöglicht. Selbst verschlüsselte Chatnachrichten aus Messenger-Apps wie Signal, Telegram oder Whatsapp soll die Schadsoftware ausleiten können.
Die Chats werden dafür allerdings nicht aus dem Speicher gelesen. Vielmehr liest Sturnus die Nachrichten in entschlüsselter Form vom Display ab. Normalerweise hieße das, dass nur Inhalte davon betroffen sind, die Nutzer sich in der jeweiligen Messenger-App ansehen. Doch Sturnus operiert auch heimlich im Hintergrund.
Laut Threatfabric können Angreifer mit der Malware einen sogenannten Block Overlay aktivieren. Das Display wird dadurch vollständig schwarz, während der Trojaner im Hintergrund weitere Aktionen ausführt, ohne dass das Opfer dies sehen kann. Auf diesem Weg können die Angreifer unbemerkt Apps starten und Daten auslesen – im Grunde alles, was auf dem Display sichtbar gemacht werden kann.
Zugangsdatenklau über Overlays
Hauptaufgabe des Trojaners besteht den Angaben zufolge darin, Banking-Zugangsdaten einzusammeln. Das geschieht ähnlich wie bei anderen Banking-Trojanern primär über gefälschte Anmeldemasken, die jenen gängiger Banking-Apps nachempfunden sind und als Overlays eingeblendet werden. So sollen Anwender dazu gebracht werden, ihre Zugangsdaten selber einzugeben.
Wie genau Sturnus auf die Geräte der Opfer gelangt, führten die Sicherheitsforscher nicht aus. Die Malware scheint aber für einige Funktionen auf die Accessibility Services von Android angewiesen zu sein und weitreichende Geräte-Adminberechtigungen zu benötigen. Anwender sollten bei der Einwilligung zu solchen Zugriffsrechten grundsätzlich vorsichtig sein – insbesondere bei unbekannten Apps.
Malware klammert sich an Adminrechte
Ist der Trojaner als Geräte-Admin eingetragen, verteidigt er diesen Status vehement. Den Angaben zufolge hält er den Nutzer davon ab, ihm die Adminrechte in den Android-Einstellungen wieder zu entziehen, indem die Malware zugehörige Menüs erkennt und automatisch wieder davon weg navigiert. Sogar eine manuelle Deinstallation über Tools wie ADB wird laut Threatfabric blockiert.
Nach Angaben der Forscher befindet sich Sturnus noch in einer frühen Entwicklungs- und Testphase, erweist sich aber dennoch schon jetzt als voll funktionstüchtig. Zugeschnitten ist die Malware offenbar auf Banking-Apps mehrerer Finanzinstitute aus Süd- und Mitteleuropa. Konkrete Namen nannten die Sicherheitsforscher aber nicht. Bei den von Threatfabric untersuchten Proben handelte es sich um gefälschte Versionen von Google Chrome sowie einer App namens Preemix Box.