Über einen Tor-basierten Online-Shop werden derzeit Webinjects angeboten, die Banking-Trojaner Deine Kreditkartendaten einsammeln lassen.
Ein Cyberkrimineller bietet in seinem Tor-basierten Online-Shop eine Reihe von Webinjects zum Verkauf an. Diese lassen sich einfach in bestehende Banking-Trojaner einbinden. Sie zielen darauf ab, sensible Daten aus weitverbreiteten Anwendungen für Online-Banking, Krypto und E-Commerce auf Android-Geräten abzugreifen.
Banking-Trojaner erhalten hinterlistige Overlays
In russischen Cybercrime-Foren sind Angebote für insgesamt 1.894 Webinjects aufgetaucht. Dabei handelt es sich um Vorlagen für Phishing-Fenster, die in legitime Anwendungen eingreifen, um ihren Benutzern Anmeldeinformationen und andere sensible Daten zu stehlen.
Diese Overlays imitieren beispielsweise ein Login-Formular innerhalb einer Banking-App, indem sie deren grafische Benutzeroberfläche überlagern. Das soll den Anwender schließlich dazu verleiten, dort seine Zugangsdaten einzugeben, die der Angreifer infolgedessen durch Einsatz eines Banking-Trojaners abgreift. Der Prozess ähnelt also einem Man-in-the-Browser-Angriff.
Apps für Online-Banking, Krypto und E-Commerce im Fokus
Die von einem “InTheBox” genannten Anbieter stammenden Webinjects sind laut BleepingComputer mit verschiedensten Banking-Trojanern für Android kompatibel, die Apps vieler großer Bankinstitute imitieren. Ferner sei auch eine Gültigkeitsprüfung für eingegebene Kreditkartendaten mit an Bord. Somit kann die eingesetzte Schadsoftware ungültige Eingaben direkt auf dem Zielgerät herausfiltern.
Aber auch Anmeldeinformationen mobiler Anwendungen von Kryptowährungsbörsen und E-Commerce-Plattformen sind durch die Overlays abgreifbar.
Um festzustellen, welche Apps genau zu imitieren sind, scannt die eingesetzte Malware die auf dem infizierten Gerät installierte Software. Anschließend ruft sie die Webinjects mit den passenden Overlays von einem vom Angreifer kontrollierten Server ab.
Webinjects machen Banking-Trojaner effektiver
Sicherheitsforscher von Cyble haben eine Übersicht der angebotenen Pakete bereitgestellt:
„814 Webinjects, die mit Alien, Ermac, Octopus und MetaDroid kompatibel sind, für 6.512 US-Dollar
Cyble-Bericht
495 Webinjects, die mit Cerberus kompatibel sind, für $3.960
585 Webinjects, die mit Hydra kompatibel sind, für $4.680”
Diese stellen neben vielen anderen Regionen auch für europäische Android-Benutzer eine Gefahr dar. Sie lassen sich von international agierenden Hackern einsetzen, um die Effektivität ihrer Banking-Trojaner zu steigern.
Die automatisierte und unkomplizierte Kaufabwicklung führe der seit Februar 2020 tätige Webinject-Verkäufer InTheBox dem Cyble-Bericht zufolge über einen Tor-basierten Online-Shop ab. Nach Entrichtung einer einmaligen Registrierungsgebühr locke die Plattform mit lukrativen Rabatten, so die Forscher.
Für Cyberkriminelle sind die Preise indes überschaubar, wenn man bedenkt, dass sich damit Daten aus Hunderten von Anwendungen aus aller Welt abgreifen lassen. Wem die angebotenen Pakete dennoch zu teuer sind, der kann alternativ auch einzelne Webinjects für jeweils 30 Dollar erwerben.
