Wer sich den vermeintlich harmlosen Webbrowser Google Chrome herunterladen will, könnte sich derzeit schnell die neue Hook-Malware einfangen.
Der Entwickler des Banking-Trojaners „Ermac“ hat eine neue Schadsoftware geschrieben. Die „Hook“ genannte Android-Malware bietet unter anderem ein neues VNC-Modul, worüber ein Angreifer die Smartphones seiner Opfer aus der Ferne steuern kann. Verbreitet wird die böswillige Software derzeit im vermeintlich harmlosen Google-Chrome-Gewand.
Ermac-Entwickler ruft „neue“ Schadsoftware ins Leben
Sicherheitsforscher von ThreatFabric haben eine neue Android-Malware mit dem Namen „Hook“ entdeckt. Ihr Schöpfer soll der Entwickler des bereits bekannten Banking-Trojaners Ermac sein.
Letzteren stellt er anderen Cyberkriminellen gegen eine Gebühr in Höhe von 5.000 Dollar pro Monat zur Verfügung, um Anmeldeinformationen von mehreren Hundert Bank- und Kryptoanwendungen abzugreifen.
Obwohl der Autor behauptet, er habe die Hook-Malware komplett neu geschrieben, konnten die Forscher umfangreiche Überschneidungen mit dem Quellcode von Ermac finden. Dabei soll die „neue“ Schadsoftware sogar ältere Codebestandteile enthalten, die bisher gar nicht zum Einsatz kommen.
Hook-Malware erlaubt Fernsteuerung von Android via VNC-Modul
Dennoch kommt die neue Android-Schadsoftware mit einigen zusätzlichen Funktionen daher, wie aus einem Bericht von BleepingComputer hervorgeht. Dazu gehört zum Beispiel der Einsatz einer WebSocket-basierten Kommunikation. Ermac hingegen nutzte dafür lediglich eine AES-256-verschlüsselte HTTP-Verbindung.
Weitaus brisanter dürfte jedoch das neue VNC-Modul sein, durch das ein Angreifer in Echtzeit die Benutzeroberfläche eines kompromittierten Smartphones bedienen kann. Das ermöglicht die Ausführung sämtlicher Aktionen, die auch lokal auf dem Gerät umsetzbar wären.
Benutzer neuerer Android-Systeme können diesbezüglich jedoch vorerst aufatmen. Das VNC-Modul der Hook-Malware erfordert nämlich einen Zugriff auf die Barrierefreiheitsdienste, die seit Version 11 von Googles Betriebssystem angeblich nicht mehr ganz so einfach zu überlisten sind.
So manch ein Chrome-Browser könnte auch eine Hook-Malware enthalten
Eine vollständige Liste aller von der Schadsoftware unterstützten Befehle ist im Bericht der ThreatFabric-Forscher zu finden. Dort gibt es außerdem eine Auflistung aller Banking-Apps, aus denen die böswillige Anwendung versucht, Anmeldeinformationen zu stehlen. Einige davon sind auch in Deutschland vertretenen Banken zuzuordnen.
Die Verbreitung der Hook-Malware erfolgt derzeit als APK-Datei im Gewand des beliebten Webbrowsers Google Chrome. Die zugehörigen Paketnamen sind „com.lojibiwawajinu.guna„, „com.damariwonomiwi.docebi„, „com.damariwonomiwi.docebi“ und „com.yecomevusaso.pisifo„.
Wer sich vor Angriffen dieser Art schützen möchte, sollte stets darauf achten, nur Apps aus vertrauenswürdigen Quellen zu installieren. Insbesondere wenn eine APK-Datei über einen unerwarteten Link oder eine Webseite mit vermeintlichen Tippfehlern in der URL daherkommt, ist es zumeist keine gute Idee, diese zu behalten.