{"id":258226,"date":"2021-10-02T10:55:47","date_gmt":"2021-10-02T08:55:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258226"},"modified":"2023-08-02T17:53:34","modified_gmt":"2023-08-02T15:53:34","slug":"neue-variante-des-banking-trojaners-hydra-zielt-auf-europische-commerzbank-nutzer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/02\/neue-variante-des-banking-trojaners-hydra-zielt-auf-europische-commerzbank-nutzer\/","title":{"rendered":"Neue Variante des Banking-Trojaners Hydra zielt auf europäische (Commerzbank) Nutzer"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleiner Nachtrag von dieser Woche: Ende September 2021 hat der Sicherheitsanbieter Cyble Alarm geschlagen. Seine Sicherheitsspezialisten sind auf eine neue Variante des Banking-Trojaners Hydra gesto\u00dfen, die es gezielt auf europ\u00e4ische Nutzer abgesehen hat. Commerzbank-Kunden scheinen wohl eines dieser Ziele zu sein, denn denen wird beim Phishing gezielt ein Trojaner, getarnt als Commerzbank-App f\u00fcr Android untergeschoben.<\/p>\n

<\/p>\n

\"\"Gerade in Zeiten der COVID-19-Pandemie sind die Menschen dazu gezwungen, verst\u00e4rkt auf Online-Dienste zur\u00fcckzugreifen. Bankgesch\u00e4fte lassen sich leicht online abwickeln. Das wissen jedoch auch Cyberkriminelle, die dies als Gelegenheit sehen, Nutzer ins Visier zu nehmen. In letzter Zeit haben Sicherheitsforscher eine Zunahme von Android-Banking-Trojanern beobachtet, die \u00fcber verschiedene Kampagnen verbreitet werden.<\/p>\n

Der Banking-Trojaners Hydra<\/h2>\n

K\u00fcrzlich sind die Sicherheitsforscher von Cyble auf mehrere Szenarien gesto\u00dfen<\/a>, bei denen Cyberbetr\u00fcger es auf Bankkunden abgesehen haben. Nachfolgender Tweet<\/a> des Malware-Hunter-Teams weckte die Aufmerksamkeit der Forscher.<\/p>\n

\"Trojaner<\/a><\/p>\n

Dort wird eine angebliche Commerzbank-App auf einer omin\u00f6sen Domain zum Download angeboten – wobei es weitere \u00e4hnlich klingende Domains mit dem Schema kunden.commerzbank.de-xxx <\/em>gibt. Das Ganze wurde mit einer Phishing-Kampagne begleitet, die auf die Commerzbank abzielte und die Download-Seiten des Trojaners verlinkten. Die Commerzbank Aktiengesellschaft mit Hauptsitz in Frankfurt am Main hat ja durchaus einen gr\u00f6\u00dferen Kundenstamm.<\/p>\n

In obigem Tweet erw\u00e4hnte der Forscher des Malware-Hunter-Teams, dass sich die Android-Malware \u00fcber eine Seite verbreitet, die sich als offizielle Commerzbank-Seite ausgibt. Es wird auch hervorgehoben, dass der\/die Bedrohungsakteur(e) (TA) mehrere Domains auf derselben IP registriert hat\/haben und die gef\u00e4lschte Website b\u00f6sartige Apps verbreitet, die sich als CommerzBank-App ausgeben.<\/p>\n

Die Sicherheitsforscher Cyble haben Beispiele der Android-APK-Apps dieser Phishing-Kampagne gesammelt und gr\u00fcndlich analysiert. Auf der Grundlage dieser Analyse l\u00e4sst sich feststellen, dass es sich bei der als Android-App verbreiteten Malware um eine Variante von Hydra handelt. Das ist ein Android-Banking-Bot, der erstmals Anfang 2019 entdeckt wurde.<\/p>\n

Die aktuelle Analyse hat zudem ergeben, dass Hydra neben dem Standardverhalten von Banking-Trojanern, wie dem Erstellen eines Overlays zum Stehlen von Anmeldedaten, weiter entwickelt wurde. Der Trojaner enth\u00e4lt jetzt TeamViewer-Funktionen, \u00e4hnlich wie die S.O.V.A.-Malware. Zudem verwendet der Trojaner verschiedene Verschl\u00fcsselungstechniken, um die Erkennung zu umgehen und setzt auf das Tor-Netzwerk zur Verschleierung der Kommunikation.<\/p>\n

Das Cyble-Forschungsteam hat au\u00dferdem festgestellt, dass die Angreifer auch Varianten des HQwar Banking-Trojaner verteilt, die sich als mobile Anwendungen der Commerzbank ausgeben. Beim Starten der gef\u00e4lschten App fordert die Hydra-Malware den Benutzer zun\u00e4chst auf, die Zugriffsberechtigung zu aktivieren. Sobald diese Berechtigung aktiviert ist, aktiviert die Malware andere Berechtigungen wie die Ger\u00e4teverwaltungsberechtigung, die Kontaktberechtigung usw. Es\u00a0 wurde auch beobachtet, dass die Malware das Symbol der App nach dem Start auf der Android Startseite ausblendet.<\/p>\n

Die Malware pr\u00fcft zudem, ob es sich bei der Ausf\u00fchrungsumgebung um einen Emulator oder ein echtes Android-Ger\u00e4t handelt, indem sie verschiedene Pr\u00fcfungen vornimmt. Auf Android-Ger\u00e4ten missbraucht die Hydra-Malware die Funktionen der Eingabehilfen, um mehrere b\u00f6sartige Aktivit\u00e4ten durchzuf\u00fchren:<\/p>\n