Android-Malware Octo stiehlt Bankdaten

Eine neue Android-Malware treibt mal wieder ihr Unwesen. Im Jahre 2016 tauchte erstmals die Banking-Malware namens Exobot auf und dann sorgte diese Malware ab 2018 als ExobotCompact, ein Remote-Access-Trojaner (RAT) mit mehreren zusätzlichen Subtypen, für Schrecken. Nun entdeckten Cybersecurity-Forscher die neue Malware Octo, der sich im Wesentlichen auf Exobot basiert, aber noch fieser ist.

Octo wurde nur entdeckt, weil Kriminelle Anfragen dafür im Dark Web gestellt haben. Threat Fabric fand heraus, dass Octo viele Gemeinsamkeiten mit ExobotCompact hat, einschließlich Maßnahmen zur Verhinderung des Reverse-Engineerings der Malware und einer Codierung, die es einfach macht, sich in einer harmlos wirkenden App im Google Play Store zu verstecken – sowie den raffinierten Trick, Google Protect beim Download zu deaktivieren.

Was Octo laut Threat Fabric auszeichnet, ist die On-Device Fraud (ODF)-Funktionalität. ODF ist zwar nicht neu, aber es ist die Besonderheit, die Octo vom Rest der Exobot-Familie von bösartigen Anwendungen unterscheidet.

Um ODF auszuführen, schleicht sich Octo über den Erreichbarkeitsdienst ein und richtet eine Art Live-Stream zu den Befehls- und Kontrollservern des Angreifers ein, der jede Sekunde vom kompromittierten Telefon aktualisiert wird. Dann wird der Bildschirm schwarz und die Benachrichtigungen werden deaktiviert. Im Grunde sieht es also so aus, als wäre das Gerät ausgeschaltet, aber die Malware führt dann eine Vielzahl von Aufgaben wie Scrollen, Tippen, Texten sowie Ausschneiden und Einfügen aus.

Octo verwendet auch Keylogging-Software, um alles zu verfolgen, was der gehackte Benutzer auf dem Gerät eingibt (wie PINs, Sozialversicherungsnummern, OnlyFans-Nachrichten), und ist in der Lage, Push-Benachrichtigungen von bestimmten Apps zu blockieren und Texte abzufangen oder zu senden.

Threat Fabric entdeckte bei Google Play eine unschuldig aussehende App namens „Fast Cleaner“, die in Wirklichkeit ein „Dropper“ für Octo war. Dropper sind legitim aussehende Apps, die Malware enthalten.

Quelle(n):
Threat Fabric

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

Mit der Anmeldung erklärst Du dich mit unseren Nutzungsbedingungen einverstanden und erkennst die Datenschutzerklärung an. Die Nutzung der E-Mail-Adresse erfolgt ausschließlich für den Versand des Newsletters. Du kannst dich jederzeit wieder abmelden. Die Zustellung des E-Mail-Newsletters erfolgt täglich zwischen 20:00 und 21:00 Uhr deutscher Zeit. Zugestellt wird der Newsletter von MailChimp.

Wenn du ein Mensch bist, lasse das Feld leer: