Bankdaten in Gefahr: Android-Trojaner "Xbot" kombiniert Phising- und Erpressersoftware Bankdaten in Gefahr: Android-Trojaner "Xbot" kombiniert Phising- und Erpressersoftware - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


19.02.2016 pi/Rudolf Felser

Bankdaten in Gefahr: Android-Trojaner "Xbot" kombiniert Phising- und Erpressersoftware

Palo Alto Networks hat 22 Android-Apps entdeckt, die zu der neuen Trojaner-Familie "Xbot" gehören. Dieser Trojaner, der offensichtlich noch in der Entwicklung ist und regelmäßig aktualisiert wird, kombiniert verschiedene kriminelle Verhaltensmuster.

© Brian Jackson - Fotolia.com

Xbot versucht einem Blog-Beitrag von Palo Alto Networks zufolge einserseits, mittels Phishing an die Bankdaten und Kreditkarteninformationen der adressierten Opfer zu gelangen. Die Pishing-Seite imitiert hierzu die Zahlungsschnittstelle von Google Play sowie die Login-Seiten von sieben verschiedenen Banken. Xbot kann aber auch aus der Ferne infizierte Android-Geräte sperren. Der Trojaner agiert somit auch als Ransomware, wobei er Benutzerdateien in externen Speichern (beispielsweise SD-Karte) verschlüsselt – und dann via PayPal 100 Dollar Lösegeld verlangt. Darüber hinaus stiehlt Xbot alle SMS-Nachrichten und Kontaktinformationen und fängt speziell SMS-Nachrichten für mTANs (mobile Transaktions-Authentifizierungs-Nummern) von Banken ab.

Xbot wurde von Cyberkriminellen in eine flexible Architektur implementiert. Somit erscheint laut den Security-Experten eine einfache Erweiterung denkbar, um künftig weitere Android-Apps anzugreifen und bald Android-Nutzer auf der ganzen Welt zu bedrohen.

Xbot wird in erster Linie verwendet, um eine beliebte Angriffstechnik, nämlich "Activity Hijacking" auszuführen, indem einige Features in Android missbraucht werden. Beginnend mit Android 5.0 hat Google einen Schutzmechanismus entworfen, um diesen Angriff zu verhindern, aber von anderen Angriffsmethoden, die Xbot verwendet, sind weiterhin alle Versionen von Android betroffen.

Unit 42, das Malware-Analyseteam von Palo Alto Networks, ist der Ansicht, dass Xbot ein Nachfolger des Android-Trojaners Aulrin ist, der erstmals im Jahr 2014 entdeckt wurde. So weist Aulrin sehr ähnliche Codestrukturen und Verhaltensweisen auf und einige Ressourcendateien in Aulrin sind auch in Samples von Xbot enthalten. Der Hauptunterschied zwischen ihnen ist, dass Xbot zur Implementierung seiner Verhaltensweisen JavaScript durch Mozillas Rhino Framework nutzt, während Aulrin auf Lua und das .NET Framework zurückgreift. Das früheste Sample von Xbot, das Unit 42 gefunden hat, ist im Mai 2015 erstellt worden. Xbot ist jedoch komplexer als sein Vorgänger. Die neuesten Versionen verwenden sogar Dexguard, ein legitimes Werkzeug, um eigentlich Android-Apps vor Reverse Engineering oder Manipulation zu schützen.

Es gibt mehrere Anzeichen, die bei Xbot auf einen Entwickler russischer Herkunft hindeuten. Die früheren Versionen von Xbot zeigen eine gefälschte Benachrichtigung in Russisch für Google Play Phishing, es gibt russische Kommentare im JavaScript-Code, und die identifizierten Domains werden über einen russischen Registrierungsdienst betrieben. Während neuere Versionen Englisch für Benachrichtigungen verwenden, wurde die Sprache an anderer Stelle nicht geändert. Xbot weist auch einige zusätzliche Funktionen auf. So werden die Namen und Telefonnummern aller Kontakte sowie alle neuen SMS gesammelt und zu seinem C2-Server hochgeladen. In einigen Samples hat Unit 42 festgestellt, dass Xbot auch spezifische SMS-Nachrichten abfängt und analysiert. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr

Hosted by:    Security Monitoring by: