Gigabud und Spynote

Weltweite Malware-Kampagne gefährdet Smartphones und Bankkonten

Malware

Zimperium hat neue Erkenntnisse zu einer sicherheitskritischen Malware-Kampagne veröffentlicht, die Funktionen zweier Schadprogramme kombiniert. Die Untersuchungen der Zimperium-Forscher zeigen, dass aktuell sowohl Gigabud- als auch Spynote-Samples über Domänen mit ähnlichen Strukturen und Subdomains verbreitet werden.

Ziel der weltweit koordinierten Phishing-Website-Kampagne ist die Installation bösartiger Mobil-Apps für verschiedene Finanzinstitute.

Anzeige

Der Banking-Trojaner Gigabud verleitet Benutzer dazu, sensible Berechtigungen freizugeben, was zu betrügerischen Transaktionen führt, während die Android-Malware Spynote es Angreifern ermöglicht, die volle Kontrolle über infizierte Mobilgeräte zu übernehmen. Angreifer verschaffen sich so Fernsteuerungsmöglichkeiten, um infizierte Geräte ausspähen, sensible Nutzerdaten mitlesen und Passwörter stehlen zu können. Das koordinierte Zusammenwirken von Gigabud und Spynote erhöht die Bedrohungslage nicht nur für Endverbraucher, sondern auch für Geschäftsanwender, die mit einem kompromittierten Gerät arbeiten.

Die Analysen von Zimperium zeigen viele Überschneidungen zwischen beiden Malware-Familien auf. So werden Gigabud und Spynote über die gleichen Domains verbreitet, was eine koordinierte Vorgehensweise der gleichen Hinterleute nahelegt. Die Bedrohungsakteure nutzen Spynote, um Geräte fernzusteuern, Daten zu stehlen oder den Standort nachzuverfolgen. Mit Gigabud wiederum lassen sich die Anmeldedaten von Banking-Apps rauben.

Betroffen von der weltweiten Kampagne sind unterschiedliche Finanzinstitute, wobei die eingesetzten Phishing-Websites als Webplattformen großer Fluggesellschaften, E-Commerce-Plattformen und Regierungsstellen getarnt werden. Zimperium identifizierte elf Command-and-Control-Server und 79 Phishing-Websites, die vertrauenswürdige Anbieter kopierten. Die Domänen verleiten Benutzer dazu, bösartige Mobil-Apps herunterzuladen oder umfangreiche Berechtigungen zu erteilen, mit denen Angreifer vollen Zugriff auf mobile Endgeräte erhalten.

Anzeige

Mittlerweile verlagern die Bedrohungsakteure ihren Fokus immer stärker von gefälschten Behördenseiten auf vermeintlich legitime Angebote großer Finanzinstitute. Zimperiums zLabs-Forscher entdeckten über 50 mobile Banking-Apps von mehr als 40 Banken und weitere zehn Kryptowährungsplattformen, die im Rahmen der Kampagne zum Einsatz kommen.

Die Malware wird durch den Packer „Virbox“ geschützt — das Packprogramm erschwert eine Erkennung und Analyse. Durch diese fortschrittliche Verschleierungstechnik können herkömmliche Abwehrmaßnahmen umgangen und die Wirksamkeit der Bedrohung gesteigert werden.

„Das Zusammenspiel zwischen Gigabud und Spynote dokumentiert die wachsende Komplexität mobiler Malware-Angriffe”, betont Nico Chiaraviglio, Chief Scientist bei Zimperium. „Unsere neuesten Forschungsergebnisse unterstreichen zugleich die Bedeutung von Echtzeit-Erkennungstechnologien, die Mobilgeräte gegen sich schnell entwickelnde Bedrohungen schützen.“

(pd/Zimperium)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.