Cybersicherheitsexperten von Zimperium haben eine besorgniserregende Entwicklung im Bereich der mobilen Malware aufgedeckt. Sie identifizierten 40 neue Varianten des Android-Banking-Trojaners TrickMo, der mit erweiterten Fähigkeiten und einer größeren geografischen Reichweite zurückgekehrt ist. Diese Entdeckung unterstreicht die ständig wachsende Bedrohung für mobile Bankgeschäfte und persönliche Daten.
Erweiterte Funktionen und Verbreitungsmethoden
Die neuen TrickMo-Varianten zeichnen sich durch eine Reihe ausgeklügelter Funktionen aus, die es den Angreifern ermöglichen, umfassenden Zugriff auf infizierte Geräte zu erlangen. Zu den wichtigsten Merkmalen gehören:
- Abfangen von Einmal-Passwörtern (OTP)
- Bildschirmaufzeichnung
- Datendiebstahl
- Fernsteuerung des infizierten Geräts
Besonders besorgniserregend ist die Fähigkeit von TrickMo, den Accessibility Service von Android auszunutzen, um sich zusätzliche Berechtigungen zu verschaffen und automatisch Aktionen auf dem Bildschirm auszuführen. Dies ermöglicht es der Malware, tief in das System einzudringen und unbemerkt zu operieren.
Ausgeklügelte Phishing-Techniken
TrickMo setzt auf raffinierte Phishing-Overlays, die nicht nur Bank-Apps, sondern auch eine breite Palette anderer Anwendungen imitieren:
- VPN-Dienste
- Streaming-Plattformen
- E-Commerce-Websites
- Trading-Apps
- Soziale Netzwerke
- Unternehmensplattformen
Eine besonders gefährliche neue Funktion ist ein Overlay, das den Android-Sperrbildschirm nachahmt. Diese HTML-basierte Fälschung zielt darauf ab, PIN-Codes oder Entsperrmuster der Nutzer zu stehlen. Sobald diese sensiblen Daten erfasst sind, werden sie zusammen mit der eindeutigen Gerätekennung (Android ID) an die Angreifer übermittelt.
Globale Verbreitung und Auswirkungen
Die Analyse der Command-and-Control-Infrastruktur von TrickMo ergab, dass mindestens 13.000 Geräte bereits infiziert wurden. Die Hauptziele befinden sich in Kanada, den Vereinigten Arabischen Emiraten, der Türkei und Deutschland. Experten vermuten jedoch, dass die tatsächliche Zahl der Opfer deutlich höher liegen könnte.
Die ungesicherte Infrastruktur der Malware ermöglichte es den Forschern, Einblick in das Ausmaß der Kompromittierung zu gewinnen. Sie entdeckten Millionen von Datensätzen, die auf eine große Anzahl kompromittierter Geräte und erhebliche Mengen gestohlener vertraulicher Informationen hindeuten.
Angesichts der wachsenden Bedrohung durch TrickMo und ähnliche Banking-Trojaner ist es entscheidend, dass Nutzer wachsam bleiben und bewährte Sicherheitspraktiken befolgen. Experten raten dringend davon ab, APK-Dateien aus unbekannten Quellen oder über Links in SMS und Messaging-Apps herunterzuladen. Stattdessen sollten Nutzer Apps nur aus vertrauenswürdigen Quellen wie dem offiziellen Google Play Store installieren und ihre Geräte mit aktueller Sicherheitssoftware schützen.