Der seit längerem bekannte Banking-Trojaners TrickMo kommt in immer neuen Varianten auf Android-Geräte. Sicherheitsexperten von Zimperium haben in eigene Untersuchungen 40 aktuelle Varianten identifiziert.
Neuere Varianten nutzten innovative Techniken, um sich der Erkennung und Analyse zu entziehen, wie etwa die Manipulation von Zip-Dateien und die Verschleierung von Daten, berichten die Experten. Zusätzlich zu den solchen Kernfähigkeiten haben die Forscher entdeckt, dass es diesen Varianten nun möglich ist, Entsperrmuster oder die PIN des Geräts zu stehlen.Um die erforderlichen Entsperrinformationen zu erhalten, präsentiert die Malware eine trügerische Benutzeroberfläche (UI), die den eigentlichen Entsperrbildschirm des Geräts durch eine Vollbildseite in HTML nachahmt.
Wenn der Benutzer sein Entsperrmuster oder seine PIN eingibt, überträgt die Seite die erfassten PIN- oder Musterdetails zusammen mit einer eindeutigen Gerätekennung (der Android-ID) an ein PHP-Skript. Um die Android-ID zu erhalten, wird eine Methode namens „getAndroidID“ eingebunden. Diese Methode ruft den entsprechenden Wert vom Gerät ab und fügt ihn an die POST-Anfrage an, nachdem die PIN oder das Muster erfasst wurde. Dieser Mechanismus ermöglicht es dem Threat Actor (TA), die gestohlenen Anmeldeinformationen mit dem spezifischen Gerät des Opfers zu verknüpfen.
Während der Analyse sei es den Forschern gelungen, Zugang zu mehreren Command and Control-Servern (C2-Server) zu erhalten. In den Verzeichnissen der C2-Server habe man Dateien mit etwa 13.000 eindeutigen IP-Adressen entdeckt, die zu den Opfern dieser Malware gehören. Nachdem wir die Liste der IP-Adressen erhalten haben, haben wir sie geolokalisiert, um zu prüfen, auf welche Region diese Malware und ihre Varianten abzielen. Demnach seien die Hauptziele dieser Malware Kanada, Vereinigte Arabische Emirate, Türkei und Deutschland.
Um sich vor Trickmo zu schützen sollten Android-Nutzer unbedingt darauf achten, keine Apps aus unbekannten Quellen zu installieren. Trickmo kommt aber auch per Phishing auf die Geräte.
Für jeden GNU/Linux (Android ist auch nur eine GNU/Linux Distribution) User ist es eine Selbstverständlichkeit das man nichts aus inoffiziellen Quellen installiert. Dies sollte eigentlich Usus für jeden Computernutzer sein, schade das man das überhaupt werwähnen muss. Waren es in den 2000er Jahren die zusätzlichen Suchleisten im Desktop-Browser die die verfügbare Höhe der Bildschirmauflösung um einiges verkleinert haben (habe damals Systeme gesehen die bis zu acht solcher Suchleisten hatten und so das nutzbare Feld halbiert haben. Auf den Handys waren es die Klingeltonjunkies die sich permanent ein Abo eingefangen haben, aber in JEDEM Fall war es schon immer Unachtsamkeit, Nachlässigkeit… Mehr »