Zimperium-Forscher sind einer neuen Malware-as-a-Service-Plattform auf der Spur, die auf Android-Telefone mit Banking-Trojanern abzielt. Die Plattform mit dem Namen „Fantasy Hub“ ermöglicht es ungeschulten Bedrohungsakteuren, ausgeklügelte Malware-Kampagnen zu starten, die die Opfer dazu bringen, Zugang zu ihren Bankkonten zu gewähren.
Zimperium erklärt: „Fantasy Hub ist kein einmaliges Commodity-Kit: Es ist ein MaaS-Produkt mit Verkäuferdokumentation, Videos und einem Bot-gesteuerten Abo-Modell, das Angreifern hilft, indem es eine niedrige Einstiegshürde bietet. Da es auf Finanz-Workflows abzielt (gefälschte Fenster für Banken) und die SMS-Handler-Rolle missbraucht (zum Abfangen von Zwei-Faktor-SMS), stellt es eine direkte Bedrohung für Unternehmenskunden dar, die BYOD nutzen, sowie für jede Organisation, deren Mitarbeiter auf Mobile Banking oder sensible mobile Apps angewiesen sind.“
Die Malware-Plattform verfügt über integrierte Phishing-Vorlagen, die sich als mehrere große Banken ausgeben, und ermöglicht es Angreifern, eigene Vorlagen zu erstellen.
„Ein bemerkenswertes Merkmal der Malware ist ihre Fähigkeit, vorgefertigte oder benutzerdefinierte Phishing-Fenster einzusetzen, die auf verschiedene Banken abzielen“, schreiben die Forscher. „In erster Linie konzentriert sie sich auf Institute wie Alfa, PSB, Tbank und Sber. Darüber hinaus haben die Hersteller der Malware angegeben, dass die Angreifer in der Lage sind, zusätzliche benutzerdefinierte Fenster zu erstellen, mit denen sie ein breiteres Spektrum von Finanzinstituten angreifen können. Die Malware nutzt Aktivitäts-Alias-Einträge, um zahlreiche Startsymbole und Bezeichnungen zu erzeugen, die alle auf eine einzige Komponente verweisen. So kann sich eine APK als verschiedene Bankanwendungen ausgeben.“
Die Forscher stellen fest, dass Fantasy Hub den meisten Malware-Kits einen Schritt voraus ist, da sich die Malware an verschiedene Social-Engineering-Situationen anpassen kann.
„Im Gegensatz zu älteren Banking-Trojanern, die sich ausschließlich auf Overlays stützen, integriert Fantasy Hub native Dropper, WebRTC-basiertes Live-Streaming und den Missbrauch der SMS-Handler-Rolle, um Daten zu exfiltrieren und sich als legitime Apps in Echtzeit auszugeben“, so Zimperium. „Diese Mischung aus Social Engineering und tiefer Systemkontrolle macht es besonders gefährlich in BYOD- und Verbraucherumgebungen, in denen das Vertrauen in App-Stores vorausgesetzt wird.“
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Zimperium hat die story.