Zscaler warnt: Flutbot Banking-Malware überschwemmt Europa

Zscaler-Logo-Blue-CMYK-15Jun2015

Die Zscaler ThreatLabZ-Analysten warnen vor einer Banking-Malware mit dem Namen Flubot, die aktuell in den USA und Großbritannien, sowie weiteren europäischen Ländern ihr Unwesen treibt. Inzwischen sind auch Fälle in Deutschland aufgetreten, so dass das LKA Niedersachsen eine allgemeine Warnung herausgegeben hat. Die Android-Banking-Malware verleitet ihre Opfer über eine Paketbenachrichtigungs-SMS zur Installation des Schadcodes, um darüber Bankdaten abzugreifen. Flubot verfügt über umfangreiche Funktionalitäten, wobei das Stehlen von Kreditkarteninformationen am folgenschwersten ist. Die Malware kann darüber hinaus die Sicherheitsfunktionen zur Multi-Faktor-Authentifizierung von Finanzinstituten umgehen.

Der Infektionszyklus von Flubot beginnt mit einer SMS-Nachricht, die die Opfer mit der Aussage lockt, dass sie entweder ihr Paket verpasst haben oder ein neues Paket angekündigt wird. Die SMS-Nachricht enthält einen bösartigen Link, der die Benutzer auf eine kompromittierte Website umleitet, die dann die Android-Banking-Malware Flubot herunterlädt. Diese App stellt sich als eine der Lieferankündigungs-Apps von „Fedex“, „DHL“ oder „Correos“ dar, in einigen Fällen auch als „Chrome“.

Flubot ist eine typische Android Banking-Malware mit weitreichendem Funktionsumfang, der unter anderem aus dem Abgreifen von SMS-Nachrichten und Kontakten besteht, und sich darüber hinaus selbst durch den Versand von Nachrichten an diese Kontaktliste ausbreitet. Die Malware zieht sich ebenfalls eine Liste der installierten Anwendungen und kann darüber hinaus auch Anwendungen von einem infizierten Gerät löschen. Durch gefälschte System-Overlays werden Kreditkartendaten ausgelesen. Zu den einzigartigen Funktionen zählt die Verwendung des Domain Generation Algorithmus (DGA), der zur Kontaktaufnahme mit Command-and-Control-Servern (C&C) und zur RSA-Verschlüsselung eines Teils der an C&C-Server gesendeten Kommunikation dient. Außerdem kann die Malware Google Play Protect über die Android-Zugriffsfunktion deaktivieren.

Ist die Malware erst einmal installiert, überwacht sie die vom Opfer geöffnete Anwendungen. Stellt sich heraus, dass es sich bei der App um eine der anvisierten Banking-Anwendungen handelt, zeigt sie dem Opfer einen gefälschten Overlay-Bildschirm an und stiehlt schließlich die Anmeldedaten. Als weitere Option zum Abgreifen von Daten dient eine gefälschte Google-Verifizierungsseite.

Fazit

Aufgrund der weiten Verbreitung des mobilen Betriebssystems stehen Angriffe auf Android-Benutzer auf der Tagesordnung und werden weiterhin in rasantem Tempo zunehmen. Android-Benutzer tun dementsprechend gut daran, auf der Hut vor mobiler Malware zu sein. Malware wie Flubot hat das volle Potenzial, Opfer mit Funktionen wie dem Stehlen von Bankdaten und dem Umgehen von Multi-Faktor-Sicherheitsmaßnahmen zu kompromittieren.

Es ist daher ratsam, sich von Drittquellen fernzuhalten, die Android-Apps verbreiten und allen zufälligen Links zu misstrauen, die per E-Mail und SMS-Nachrichten präsentiert werden. Das Sicherheitsteam des ThreatLabZ bietet proaktiven Schutz vor fortschrittlichen Bedrohungen, die auf Android Banking-Apps abzielen. Die Threat Researcher verfolgen verschiedene Android Malware-Familien kontinuierlich im Zusammenhang mit zielgerichteten Angriffen (Advanced Persistent Threats), die auf das Android-Ökosystem abzielen und erfassen fortlaufend die neuesten bösartigen Indikatoren.