Weltweite Malware-Kampagne gefährdet Smartphones und Bankkonten

Zimperium identifiziert mobile Malware-Kampagne, die sich gezielt gegen Banking-Apps richtet.

Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat neue Erkenntnisse zu einer sicherheitskritischen Malware-Kampagne veröffentlicht, die Funktionen zweier Schadprogramme kombiniert. Die Untersuchungen der Zimperium-Forscher (https://www.zimperium.com/blog/a-network-of-harm-gigabud-threat-and-its-associates/) zeigen, dass aktuell sowohl Gigabud- als auch Spynote-Samples über Domänen mit ähnlichen Strukturen und Subdomains verbreitet werden. Ziel der weltweit koordinierten Phishing-Website-Kampagne ist die Installation bösartiger Mobil-Apps für verschiedene Finanzinstitute.

Der Banking-Trojaner Gigabud verleitet Benutzer dazu, sensible Berechtigungen freizugeben, was zu betrügerischen Transaktionen führt, während die Android-Malware Spynote es Angreifern ermöglicht, die volle Kontrolle über infizierte Mobilgeräte zu übernehmen. Angreifer verschaffen sich so Fernsteuerungsmöglichkeiten, um infizierte Geräte ausspähen, sensible Nutzerdaten mitlesen und Passwörter stehlen zu können. Das koordinierte Zusammenwirken von Gigabud und Spynote erhöht die Bedrohungslage nicht nur für Endverbraucher, sondern auch für Geschäftsanwender, die mit einem kompromittierten Gerät arbeiten.

Die Analysen von Zimperium zeigen viele Überschneidungen zwischen beiden Malware-Familien auf. So werden Gigabud und Spynote über die gleichen Domains verbreitet, was eine koordinierte Vorgehensweise der gleichen Hinterleute nahelegt. Die Bedrohungsakteure nutzen Spynote, um Geräte fernzusteuern, Daten zu stehlen oder den Standort nachzuverfolgen. Mit Gigabud wiederum lassen sich die Anmeldedaten von Banking-Apps rauben.

Betroffen von der weltweiten Kampagne sind unterschiedliche Finanzinstitute, wobei die eingesetzten Phishing-Websites als Webplattformen großer Fluggesellschaften, E-Commerce-Plattformen und Regierungsstellen getarnt werden. Zimperium identifizierte elf Command-and-Control-Server und 79 Phishing-Websites, die vertrauenswürdige Anbieter kopierten. Die Domänen verleiten Benutzer dazu, bösartige Mobil-Apps herunterzuladen oder umfangreiche Berechtigungen zu erteilen, mit denen Angreifer vollen Zugriff auf mobile Endgeräte erhalten.

Mittlerweile verlagern die Bedrohungsakteure ihren Fokus immer stärker von gefälschten Behördenseiten auf vermeintlich legitime Angebote großer Finanzinstitute. Zimperiums zLabs-Forscher entdeckten über 50 mobile Banking-Apps von mehr als 40 Banken und weitere zehn Kryptowährungsplattformen, die im Rahmen der Kampagne zum Einsatz kommen.

Die Malware wird durch den Packer „Virbox“ geschützt – das Packprogramm erschwert eine Erkennung und Analyse. Durch diese fortschrittliche Verschleierungstechnik können herkömmliche Abwehrmaßnahmen umgangen und die Wirksamkeit der Bedrohung gesteigert werden.

„Das Zusammenspiel zwischen Gigabud und Spynote dokumentiert die wachsende Komplexität mobiler Malware-Angriffe“, betont Nico Chiaraviglio, Chief Scientist bei Zimperium. „Unsere neuesten Forschungsergebnisse unterstreichen zugleich die Bedeutung von Echtzeit-Erkennungstechnologien, die Mobilgeräte gegen sich schnell entwickelnde Bedrohungen schützen.“

Weitere Informationen zur mobilen Malware-Kampagne sind unter https://www.zimperium.com/blog/a-network-of-harm-gigabud-threat-and-its-associates/ verfügbar. https://www.zimperium.com/blog/a-network-of-harm-gigabud-threat-and-its-associates/

Das US-Sicherheitsunternehmen Zimperium ermöglicht es Organisationen, das volle Potenzial ihres Mobilgeschäfts im Rahmen einer Mobile-First-Sicherheitsstrategie auszuschöpfen. Die Sicherheitsplattform von Zimperium ist speziell auf die Anforderungen mobiler Geschäftsprozesse ausgerichtet und bietet höchsten Schutz für Anwendungen und Endgeräte. Mit Zimperium erreichen Unternehmen autonome Mobilsicherheit, die sich dynamisch an unterschiedliche Anforderungen und Umgebungen der neuen Mobilwelt anpasst. Zimperium hat seinen Hauptsitz in Dallas, Texas, und wird von den Tech-Investoren Liberty Strategic Capital und SoftBank unterstützt.

Kontakt
Zimperium
JT Keating
Valley View 4055
75244 Dallas, Texas
+1 415 992 8922