Quellcode für leistungsstarke Android-Banking-Malware wird durchgesickert

Der Quellcode für ein leistungsfähiges Android-Malware-Programm, das Online-Banking-Zugangsdaten stiehlt, wurde laut Forschern mit IBM durchgesickert.

Die Malware-Familie ist unter mehreren Namen bekannt, darunter GM Bot, Slempo, Bankosy, Acecard, Slempo und MazarBot.

GM Bot wurde in Untergrund-Hacking-Foren für rund 500 US-Dollar verkauft. Aber es scheint, dass jemand, der den Code gekauft hat, ihn im Dezember auf ein Forum durchsickerte, vielleicht um seine Position zu verbessern, schrieb Limor Kessem, ein Cybersicherheits-Analyst bei IBM Trusteer.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Laut Kessem hat die Person eine verschlüsselte Archivdatei mit dem Quellcode von GM Bot beigefügt.

"Er gab an, dass er das Passwort nur an aktive Forumsmitglieder weitergeben würde, die sich ihm näherten", schrieb Kessem. "Diejenigen, die das Passwort erhielten, übergaben es wiederum an andere, nicht intendierte Benutzer, so dass die tatsächliche Verteilung des Codes weit über die Mitgliederliste des Diskussionsforums hinausging."

Der Quellcode von mächtigen Banking-Trojanern wurde zuvor mit Apps durchgesickert wie Zeus, SpyEye und Carberp, schrieb Kessem.

"Obwohl GM Bot vielleicht nicht so produktiv ist wie die hier erwähnten großen Banking-Trojaner, ist es definitiv ein Spiel im Bereich der mobilen Bedrohungen", fügte Kessem hinzu.

GM Bot entstand Ende 2014 in russischsprachigen Foren. Es nutzt ein Problem, das bei älteren Android-Geräten als Aktivitäts-Hijacking bezeichnet wird und es ermöglicht, ein Overlay über einer legitimen Anwendung anzuzeigen.

Google hat in Android-Versionen höher als 5.0 Schutz vor Angriffen auf Aktivitäten.

Das Overlay sieht wie aus Ein Benutzer würde erwarten, nach dem Start einer legitimen Banking-App zu sehen, aber diese App läuft tatsächlich unter dem Overlay. Der Benutzer gibt dann seine Authentifizierungsinformationen ein, die an die Angreifer gesendet werden.

Da GM Bot die volle Kontrolle über das Gerät hat, kann es auch SMS-Nachrichten wie einmalige Authentifizierungscodes stehlen.

"Vorherige mobile Malware - bevor Overlays für Betrüger kommerziell verfügbar wurden - könnten SMS-Codes stehlen, aber diese wären ohne Phishing-Schemata oder einen Trojaner auf dem PC des Opfers zum Stehlen von Zugangsdaten sinnlos gewesen ", schrieb Kessem.

Seit dem Auslaufen von GM Bot's Code Ihre Schöpfer haben eine zweite Version entwickelt, "die in Finanzbetrug-Themen-Boards verkauft wird", schrieb Kessem.