Android-Malware Octo stiehlt Bankdaten

Android Malware

Eine neue Android-Malware treibt mal wieder ihr Unwesen. Im Jahre 2016 tauchte erstmals die Banking-Malware namens Exobot auf und dann sorgte diese Malware ab 2018 als ExobotCompact, ein Remote-Access-Trojaner (RAT) mit mehreren zusätzlichen Subtypen, für Schrecken. Nun entdeckten Cybersecurity-Forscher die neue Malware Octo, der sich im Wesentlichen auf Exobot basiert, aber noch fieser ist.

Octo wurde nur entdeckt, weil Kriminelle Anfragen dafür im Dark Web gestellt haben. Threat Fabric fand heraus, dass Octo viele Gemeinsamkeiten mit ExobotCompact hat, einschließlich Maßnahmen zur Verhinderung des Reverse-Engineerings der Malware und einer Codierung, die es einfach macht, sich in einer harmlos wirkenden App im Google Play Store zu verstecken – sowie den raffinierten Trick, Google Protect beim Download zu deaktivieren.

Was Octo laut Threat Fabric auszeichnet, ist die On-Device Fraud (ODF)-Funktionalität. ODF ist zwar nicht neu, aber es ist die Besonderheit, die Octo vom Rest der Exobot-Familie von bösartigen Anwendungen unterscheidet.

Um ODF auszuführen, schleicht sich Octo über den Erreichbarkeitsdienst ein und richtet eine Art Live-Stream zu den Befehls- und Kontrollservern des Angreifers ein, der jede Sekunde vom kompromittierten Telefon aktualisiert wird. Dann wird der Bildschirm schwarz und die Benachrichtigungen werden deaktiviert. Im Grunde sieht es also so aus, als wäre das Gerät ausgeschaltet, aber die Malware führt dann eine Vielzahl von Aufgaben wie Scrollen, Tippen, Texten sowie Ausschneiden und Einfügen aus.

Octo verwendet auch Keylogging-Software, um alles zu verfolgen, was der gehackte Benutzer auf dem Gerät eingibt (wie PINs, Sozialversicherungsnummern, OnlyFans-Nachrichten), und ist in der Lage, Push-Benachrichtigungen von bestimmten Apps zu blockieren und Texte abzufangen oder zu senden.

Threat Fabric entdeckte bei Google Play eine unschuldig aussehende App namens „Fast Cleaner“, die in Wirklichkeit ein „Dropper“ für Octo war. Dropper sind legitim aussehende Apps, die Malware enthalten.

Quelle(n):
Threat Fabric

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen RSS-Feed oder meinen Telegram-Kanal!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

2 Kommentare

  1. Hallo, dieser Artikel ist sehr schwer zu verstehen. Welche App s sind betroffen, und warum, stehten die dann nicht am Anfang, man ist schließlich nicht immer ein Softwarefreak der so was versteht was wichtig ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.