Neue Android-Banking-Malware übernimmt aus der Ferne die Kontrolle

Der Android-Trojaner Octo wurde nun durch die Forscher von ThreatFabric genauer beschrieben. Octo ist dabei ExoCompact basiert, eine recht bekannte Malware-Variante, die seit 2018 bekannt ist. Octo ist dagegen noch ganz neu und die ersten Kampagnen, in denen der Trojaner eingesetzt wurde, sind aus diesem Jahr. Laut ThreatFabric haben sie den Trojaner in freier Wildbahn erwischt, wie er über eine Fernzugriffsfunktion diverse Aktionen auf den Smartphones seiner Opfer ausführte. 

Die wichtigste Neuerung von Octo im Vergleich zu den Vorgängern ist dabei eben genau das fortschrittliche Fernzugriffsmodul, mit dem Bedrohungsakteure sogenannte On-Device-Fraud (ODF) durchführen können, indem sie das kompromittierte Android-Gerät aus der Ferne steuern.

Der Fernzugriff wird durch ein Live-Bildschirm-Streaming-Modul über die MediaProjection von Android und durch Fernaktionen über den Accessibility Service ermöglicht. Octo verwendet dazu ein schwarzes Bildschirm-Overlay, um seine Aktionen vor den Blick des Opfers zu verbergen. Der Trojaner setzt die Bildschirmhelligkeit auf Null und deaktiviert alle Benachrichtigungen, indem es den Modus "Keine Unterbrechung" aktiviert. So sieht es für das Opfer so aus, als sei sein Smartphone inaktiv, in Wirklichkeit kann aber so einiges unbemerkt ablaufen. 

Keylogger mit Fernzugriff

Dadurch, dass das Gerät scheinbar ausgeschaltet ist, kann die Malware verschiedene Aufgaben ausführen, ohne dass das Opfer davon weiß. Zu diesen Aufgaben gehören Gesten, Schreiben von Text, Ändern der Zwischenablage, Einfügen von Daten und Scrollen nach oben und unten und das Übertragen von Daten. Neben dem Fernzugriffssystem verfügt Octo auch über einen leistungsstarken Keylogger. Daher sind eingegebene PINs und Passwörter stark gefährdet. 

Octo unterstützt eine umfangreiche Liste von Befehlen, von denen die wichtigsten sind:

• Push-Benachrichtigungen von bestimmten Anwendungen blockieren
• Aktivieren des Abfangens von SMS
• Deaktivieren des Tons und vorübergehendes Sperren des Bildschirms des Geräts
• Starten einer bestimmten Anwendung
• Fernzugriffssitzung starten/beenden
• Öffnen einer bestimmten URL
• Senden einer SMS mit einem bestimmten Text an eine bestimmte Rufnummer

"Angesichts der Fakten kommen wir zu dem Schluss, dass ExobotCompact in den Android-Bankentrojaner Octo umbenannt wurde und von seinem Besitzer ‚Architect', auch bekannt als ‚Goodluc', gemietet wird. ThreatFabric verfolgt diese Variante als ExobotCompact.D", so die Schlussfolgerung von Threat Fabric in ihrem Bericht. 

Der Trojaner verbreitet sich dabei über den Google Play Store. Zu den jüngsten Apps, von denen bekannt ist, dass sie mit Octo infiziert wurden, gehört eine Anwendung namens "Fast Cleaner". Die App wurde mittlerweile aus dem Store entfernt, hatte aber bis dahin rund 50.000 Downloads. Trojaner mit Fernzugriffsmodulen kommen immer häufiger vor und machen robuste Maßnahmen zum Schutz von Konten, wie z. B. Zwei-Faktor-Codes, obsolet, da der Bedrohungsakteur das Gerät und die eingeloggten Konten vollständig kontrolliert. 

Quelle: ThreatFabric