{"id":262829,"date":"2022-02-23T01:58:54","date_gmt":"2022-02-23T00:58:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262829"},"modified":"2023-06-01T00:54:01","modified_gmt":"2023-05-31T22:54:01","slug":"android-trojaner-xenomorph-zielt-auf-56-europische-banken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/23\/android-trojaner-xenomorph-zielt-auf-56-europische-banken\/","title":{"rendered":"Android-Trojaner Xenomorph zielt auf 56 europ&auml;ische Banken"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/02\/23\/android-trojaner-xenomorph-zielt-auf-56-europische-banken\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von threadfabric.com sind im Februar 2022 auf einen neuen Android-Banking-Trojaner gesto\u00dfen, der \u00fcber den Google Play Store verbreitet wird und die Kunden von 56 europ\u00e4ische Banken im Visier hat. Eine infizierte Cleaner App wurde mehr als 50.000 Mal aus dem Play Store heruntergeladen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/2a7c9e258d494c099b1364a6b55dd522\" alt=\"\" width=\"1\" height=\"1\" \/>Die Sicherheitsforscher von threadfabric.com tauften den Trojaner Xenomorph. Der Name kommt von seiner klaren Verbindung zu einem anderen ber\u00fcchtigten Banking-Trojaner, Alien, von dem Xenomorph Klassennamen und interessante Zeichenfolgen \u00fcbernimmt. Den gesammelten Informationen zufolge geh\u00f6ren Nutzer von 56 verschiedenen europ\u00e4ischen Banken zu den Zielen dieses neuen Android-Malware-Trojaners, der \u00fcber den offiziellen Google Play Store verbreitet wird und mehr als 50.000 Installationen aufweist.<\/p>\n<h2>Fast Cleaner-App infiziert<\/h2>\n<p>Eine der mit dem Trojaner infizierten Anwendungen, die ThreatFabric entdeckte, gab sich als \"Fast Cleaner\" aus. Das ist eine App, die verspricht, das Ger\u00e4t zu beschleunigen, indem sie ungenutzten Ballast entfernt und Blockaden zur Batterieoptimierung entfernt.<\/p>\n<p><img decoding=\"async\" title=\"Fast Cleaner-App\" src=\"https:\/\/i.imgur.com\/UmgFFVV.png\" alt=\"Fast Cleaner-App\" \/><\/p>\n<p>Die Anwendung selbst ist beim Upload in den Google Play Store sauber und konnte so erfolgreich in den Store eingestellt und dann verbreitet werden. Denn auf Google Play wurden mehr als 50.000 Installationen gemeldet. Dies ist nicht ungew\u00f6hnlich, da Malware-Familien wie Vultur und Alien durch solche Apps verbreitet werden. Die sch\u00e4dliche App l\u00e4dt die Malware erst, nachdem sie auf dem Smartphone des Opfers installiert wurde.<\/p>\n<p>Bei der Analyse haben die Sicherheitsforscher festgestellt, dass diese App eine Schadroutine beinhaltet, die zur Gymdrop-Dropper-Familie geh\u00f6rt. Das ist eine Dropper-Familie, die im November 2021 von ThreatFabric entdeckt wurde. Der Dropper kann dann weitere Malware nachladen und so das Smartphone infizieren. Die Sicherheitsforscher haben erstmals Malware-Infektionen beobachtet, die zu einer neuen Welle von ExobotCompact.D-Trojanern geh\u00f6ren. Anhand der vom Dropper heruntergeladenen Konfiguration konnte ThreatFabric best\u00e4tigen, dass diese Dropper-Familie weiterhin diese Malware-Familie als Nutzlast einsetzt. Im Gegensatz zu fr\u00fcher enthielt der Server, auf dem der b\u00f6sartige Code gehostet wurde, jedoch auch zwei andere Malware-Familien, die aufgrund bestimmter Ausl\u00f6ser ebenfalls anstelle von Alien ausgeliefert wurden.<\/p>\n<p>Diese Android-Banking-Malware befindet sich noch in der Entwicklungsphase und unterst\u00fctzt nur das Minimum an Funktionen, die f\u00fcr einen modernen Android-Bankentrojaner erforderlich sind. Die App fragt bei der Installation nach erweiterten Berechtigungen und nutzt diese zur Infektion des Ger\u00e4ts. Der n\u00e4chste Schritt der App nach der Installation besteht darin, eine Liste der installierten Pakete auf dem kompromittierten Ger\u00e4t zur\u00fcckzusenden, damit die passenden Overlays nachgeladen werden k\u00f6nnen.<\/p>\n<p>Damit lassen sich bereits Login-Daten und Einmalpassw\u00f6rter, die zum Schutz von Bankkonten verwendet werden, stehlen. Wie viele andere Android-Banking-Trojaner setzt auch dieser Trojaner stark auf den Mechanismus des Overlay-Angriffs. Das Opfer soll dazu verleitet werden, pers\u00f6nliche Daten preiszugeben, die dann von Kriminellen f\u00fcr Betrugszwecke verwendet werden k\u00f6nnen. Wenn die Malware die Zugriffsrechte f\u00fcr die Dienste erlangt, die sie nach dem Start unbedingt anfordert, gew\u00e4hrt sie sich automatisch alle erforderlichen Berechtigungen und f\u00fchrt sich dann unbemerkt auf dem Ger\u00e4t aus.<\/p>\n<p>Anschlie\u00dfend kann der Banking-Trojaner Benachrichtigungen abfangen, Textnachrichten protokollieren und Injektionen verwenden, um Overlay-Angriffe durchzuf\u00fchren. Die von Xenomorph zur\u00fcckgesendete Liste der Overlay-Ziele enth\u00e4lt Banken aus Spanien, Portugal, Italien und Belgien sowie einige allgemeine Anwendungen wie E-Mail-Dienste und Kryptow\u00e4hrungs-Wallets. Threadfabrik hat <a href=\"https:\/\/web.archive.org\/web\/20230521024802\/https:\/\/www.threatfabric.com\/blogs\/xenomorph-a-newly-hatched-banking-trojan.html\" target=\"_blank\" rel=\"noopener\">eine detaillierte Analyse<\/a> dieses Trojaners ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von threadfabric.com sind im Februar 2022 auf einen neuen Android-Banking-Trojaner gesto\u00dfen, der \u00fcber den Google Play Store verbreitet wird und die Kunden von 56 europ\u00e4ische Banken im Visier hat. Eine infizierte Cleaner App wurde mehr als 50.000 Mal aus &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/02\/23\/android-trojaner-xenomorph-zielt-auf-56-europische-banken\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328],"class_list":["post-262829","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262829"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262829\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}