Threats & Co, Fachartikel

Swearing-Trojaner treibt weiter sein Unwesen, obwohl sein Erschaffer bereits im Gefängnis sitzt

Swearing-Trojaner treibt weiter sein Unwesen, obwohl sein Erschaffer bereits im Gefängnis sitzt

Mirco Kloss, Sales Manager Threat Prevention bei Check Point Software Technologies GmbH

Forschungsergebnis von Tencent Security und Check Point + Sicherheitsforscher der Firma Tencent Security haben kürzlich erste Informationen über den sogenannten „Swearing Trojaner“ veröffentlicht. Bei dieser Schadsoftware handelt es sich um eine Malware für Mobile Banking, die es vor allem auf Nutzer in China abgesehen hat. Benannt wurde die Schadsoftware nach seinem Inhalt, den im Code lassen sich zahlreiche chinesische Schimpfwörter finden. Die Malware hat bereits zahlreiche Android-User in China infiziert und deren Kontodaten und weitere sensible Informationen kopiert.

Ähnlich wie der vor einiger Zeit entdeckte mobile Banking-Trojaner kopiert die Malware die Daten indem er die 2-Faktor Authentifizierung umgeht. Der One-Time Passcode, der zum Nutzer per SMS geschickt wird, wird durch die Malware abgefangen. Die Cyberkriminellen tauschen dafür die originale Android SMS App auf dem Gerät mit einer ähnlich aussehenden Version aus und können dann die eingehenden SMS abfangen.

Sicherheitsforscher der Firma Tencent Security haben kürzlich erste Informationen über den sogenannten „Swearing Trojaner“ veröffentlicht. Bei dieser Schadsoftware handelt es sich um eine Malware für Mobile Banking, die es vor allem auf Nutzer in China abgesehen hat. Benannt wurde die Schadsoftware nach seinem Inhalt, den im Code lassen sich zahlreiche chinesische Schimpfwörter finden. Die Malware hat bereits zahlreiche Android-User in China infiziert und deren Kontodaten und weitere sensible Informationen kopiert. Ähnlich wie der vor einiger Zeit entdeckte mobile Banking-Trojaner kopiert die Malware die Daten indem er die 2-Faktor Authentifizierung umgeht. Der One-Time Passcode, der zum Nutzer per SMS geschickt wird, wird durch die Malware abgefangen. Die Cyberkriminellen tauschen dafür die originale Android SMS App auf dem Gerät mit einer ähnlich aussehenden Version aus und können dann die eingehenden SMS abfangen.

Die Angreifer nutzen gefälschte Base Transceiver Stations (BTS), um Phishing SMS zu versenden, die so aussehen, als würden diese von chinesischen Telekom Service Providern wie China Mobile oder China Unicom stammen. Die SMS fordert den Nutzer auf, einen infizierten Link anzuklicken, der danach anfängt Malware zu installieren. Eine andere ebenso bekannt gewordene Masche ist das Versenden von Nachrichten an Empfänger, Absender sind deren ehemalige Partner. Allerdings verstecken sich auch hinter diesen Nachrichten die Angreifer.

Um Zugriff auf das Zielgerät zu erhalten, werden dann Dropper genutzt, um bösartige Payloads herunterzuladen, sobald der Nutzer die gefälschte App auf seinem Gerät installiert hat. Die installierte App verlangt vom Nutzer nur wenige Zugriffsrechte. Ist die Installation jedoch abgeschlossen, werden automatisiert jede Menge Phishing SMS an die in dem Gerät hinterlegten Kontakte versendet, um auch diese zu infizieren.

Die Angreifer bedienen sich hier einer ganzen Bandbreite von Phishing Scams, um sich weiter auszubreiten: Beispielsweise werden Manager dazu aufgefordert, wichtige Geschäftsberichte herunterzuladen, um auf die Kommentare im Dokument zu antworten. Fotos und Videos sind ebenso beliebt. In China sind vor allem Videos von lokalen Berühmtheiten beliebt, die angeblich beim Fremdgehen erwischt wurden. Doch auch ganz normale Updates von Mobilfunkanbieter oder aber der Bank werden verschickt.

Die Besonderheit des Trojaners ist, dass er nicht mit einem C&C Server kommuniziert. Stattdessen sendet die Malware die kopierten Daten zum Angreifer per SMS oder per E-Mail. Das führt dazu, dass die Schadsoftware gut versteckt wirkt und verhindert, dass sie schnell aufgespürt werden kann. Tencent berichtet, dass die Cyberkriminellen bereits inhaftiert wurden. Check Point stellt allerdings immer noch eine zunehmende Verbreitung und weitere Aktivitäten fest, so dass es sich um eine größere Gruppe von Beteiligten zu handeln scheint.

Seit dem 1. September fordert die chinesische Regierung die Registrierung von IDs für alle mobilen Telefonnummern. Wenn Nutzer diese ID nicht an ihren Service Provider übermitteln, bevor die Deadline ausläuft, wird die Mobilfunknummer gelöscht. Mit dieser Maßnahme sollte sich die Ausbreitung des Swearing Trojaners begrenzen lassen, denn dann können die Angreifer keine gefälschten Nummern mehr benutzen. Allerdings reduziert das noch nicht die Gefahr von Phishing E-Mails als Angriffsvektor. In dem von Tencent veröffentlichten Report waren nur 21cn.com Adressen angegeben. Check Points Sicherheitsforscher haben aber bereits festgestellt, dass auch chinesische E-Mail Service Provider wie 163.com, sina.cn und qq.com für die Verbreitung genutzt wurden. Einige dieser E-Mail-Adressen haben eine mobile Nummer als Nutzernamen eingesetzt. Wenn wir uns die Unregelmäßigkeiten zwischen den Nummern in den E-Mail Adressen und den Mobilfunknummern anschauen, die für die SMS-Kommunikation genutzt wurden, lässt sich feststellen, dass Swearing Trojaner Varianten bislang mindestens zweimal verändert wurden.

Viele der auf dem chinesischen Markt aufgetauchten mobilen Malware wie Hummingbad waren in der Vergangenheit Vorboten für die weltweite Verbreitung ähnlicher Varianten. Die Angriffsvektoren der gefälschten BTS und der automatisch generierten Phishing SMS könnten auch von Malware im Rest der Welt adaptiert werden.

Im Anhang eine Liste der bislang entdeckten SHA-Varianten.

Appendix 1 – Liste der entdeckten SHA-Varianten

 

 

 

 

 

Diesen Artikel empfehlen

Kein API ohne Management

Digital nur mit Konzept Einige Anbieter erstellen beispielsweise nur noch sogenannte „Micro Services“. Diese bieten zwar nur eine sehr begrenzte Funktionalität, allerdings lassen sie sich in Kombination zu einer Vielzahl neuer Anwendungen zusammensetzen.  Auf diese Weise können bestehende...