Online Banking Scam in Mexiko: Schutz vor den Gefahren beim Online-Banking

Das McAfee Mobile Malware Research Team hat Malware gefunden, die speziell auf Mexiko abzielt. Sie gibt sich als Sicherheitstool für Online-Banking oder als eine Bank-App zur Meldung defekter Geldautomaten aus. In beiden Fällen setzt die Malware auf ein Gefühl der Dringlichkeit, um die Zielpersonen zur Nutzung des Tools zu bewegen. Sie kann Authentifizierungsdaten stehlen, die für den Zugriff auf die Konten ihrer Opfer bei den jeweiligen mexikanischen Finanzinstituten benötigt werden.

McAfee Mobile Security identifiziert diese Bedrohung gemeinsam mit ihren Varianten als Android/Banker.BT.

Wie verbreitet sich diese Malware?

Die Malware wird über eine bösartige Phishing-Seite verbreitet, die Sicherheitstipps für Bankgeschäfte gibt (die von der Original-Website der Bank kopiert wurden) und empfiehlt, die bösartigen Apps als Sicherheitstool oder als App zur Meldung von außer Betrieb befindlichen Geldautomaten herunterzuladen. Es ist sehr wahrscheinlich, dass die Bedrohung außerdem durch eine Smishing-Kampagne verbreitet wird. Möglicherweise werden die Opfer auch direkt durch betrügerische Telefonanrufe von den Kriminellen kontaktiert, was in Lateinamerika häufig vorkommt. Zum Glück wurde diese Bedrohung noch nicht auf Google Play gefunden.

So können Sie sich schützen

Während der Pandemie gingen die Banken bei der Interaktion mit ihren Kunden neue Wege. Diese raschen Veränderungen führten dazu, dass die Kunden aufgrund der neuen, kontaktlosen Normalität eher bereit waren, neue Verfahren zu akzeptieren und neue Apps zu installieren. Angesichts dieser Tatsache entwickelten Cyberkriminelle neue Betrugs- und Phishing-Angriffe, die glaubwürdiger wirken als die früheren, sodass Verbraucher leichter darauf hereinfallen.

Glücklicherweise ist McAfee Mobile Security in der Lage, diese neue Bedrohung als Android/Banker.BT zu erkennen. So schützen Sie sich vor dieser und ähnlichen Bedrohungen:

  • Installieren Sie Sicherheitssoftware auf Ihren Mobilgeräten.
  • Bleiben Sie auf der Hut, um keine verdächtigen Apps herunterzuladen und zu installieren, vor allem, wenn sie Berechtigungen für den Zugriff auf SMS oder Benachrichtigungen anfordern.
  • Verwenden Sie offizielle App-Stores, aber vertrauen Sie ihnen nicht blind, da auch über diese Stores Malware verbreitet werden kann. Überprüfen Sie daher die Berechtigungen, lesen Sie Bewertungen und suchen Sie nach Informationen zu den Entwicklern.
  • Verwenden Sie Token-basierte Zwei-Faktor-Authentifizierung (über eine Hardware oder Software) statt SMS-Authentifizierung

 

Figure 1- Phishing malware distribution site that provides security tips

Abbildung 1 – Phishing-Malware-Seite, die angeblich Sicherheitstipps gibt

Möchten Sie weitere Einzelheiten erfahren? Hier ist ein detaillierterer Einblick in diese Malware

Verhalten: Verleiten des Opfers zur Eingabe seiner Anmeldeinformationen

Sobald die bösartige App installiert und gestartet wurde, zeigt die erste Aktivität eine Meldung auf Spanisch an, die den vorgeblichen Zweck der App erklärt:

– Fake Tool zur Meldung betrügerischer Vorgänge, das ein Gefühl der Dringlichkeit vermittelt:

Figure 2- Malicious app introduction that try to lure users to provide their bank credentials

Abbildung 2 – Erste Meldung einer bösartigen App, die versucht, Benutzer zur Angabe ihrer Bankdaten zu verleiten

“<Name der Bank> hat ein Instrument geschaffen, mit dem Sie jede verdächtige Kontobewegung sperren können. Alle in der App aufgeführten Vorgänge sind noch nicht abgeschlossen. Wenn Sie die nicht erkannten Transaktionen nicht innerhalb von 24 Stunden sperren, wird Ihr Konto automatisch belastet.

Nach Abschluss der Sperrung erhalten Sie eine SMS mit den Einzelheiten der gesperrten Vorgänge.”

Im Fall des Fake-Tools zur Meldung defekter Geldautomaten soll der Kunde eine neue Kreditkarte anfordern. Es gibt einen ähnlichen Text, mit dem sich Benutzer in falscher Sicherheit wiegen:

Figure 3- Malicious app introduction of ATM reporting variant that uses the Covid-19 pandemic as pretext to lure users into provide their bank credentials

Abbildung 3 – Erste Meldung einer bösartigen App zur Geldautomatenmeldung, welche die Covid-19-Pandemie als Vorwand nutzt, um Benutzer zur Angabe ihrer Bankdaten zu verleiten

“Als Covid-19-Sicherheitsmaßnahme wurde diese neue Option geschaffen. Sie erhalten per SMS eine ID und können dann Ihre neue Karte in jeder Filiale beantragen oder sie kostenlos an Ihre registrierte Heimatadresse schicken lassen. Achtung! Wir werden niemals Ihre sensiblen Daten wie NIP oder CVV abfragen.” Dies verleiht der App Glaubwürdigkeit, da sie behauptet, keine sensiblen Daten abzufragen; sie fragt jedoch nach den Zugangsdaten für das Online-Banking.

Wenn die Opfer auf “Ingresar” (“Eingeben”) tippen, fordert der Banking-Trojaner SMS-Berechtigungen an und startet eine Aktivität zur Eingabe der Benutzerkennung oder Kontonummer und des Kennworts. Im Hintergrund wird das Kennwort oder der “Schlüssel” an den Server des Kriminellen gesendet, ohne dass überprüft wird, ob die eingegebenen Anmeldedaten gültig sind, und ohne dass eine Umleitung zur ursprünglichen Bank-Website erfolgt, wie es bei vielen anderen Banking-Trojanern der Fall ist.

Figure 4- snippet of user entered password exfiltration

Abbildung 4 – Ausschnitt aus der Exfiltration eines vom Benutzer eingegebenen Kennworts

Am Ende wird eine vorher angefertigte, gefälschte Liste von Transaktionen angezeigt, sodass der Benutzer die Möglichkeit hat, diese zu blockieren. Zu diesem Zeitpunkt haben die Betrüger jedoch bereits die Anmeldedaten des Opfers sowie Zugang zu den SMS-Nachrichten auf dem Gerät, um so den zweiten Authentifizierungsfaktor zu stehlen.

Figure 5- Fake list of fraudulent transactions

Abbildung 5 – Gefälschte Liste der betrügerischen Transaktionen

Im Falle der gefälschten App zur Beantragung einer neuen Karte zeigt die App eine Meldung an, in der es am Ende heißt: “Wir haben diese Covid-19-Sicherheitsmaßnahme entwickelt und bitten Sie, unsere Tipps zur Betrugsbekämpfung zu lesen, in denen Sie erfahren, wie Sie Ihr Konto schützen können.”

Figure 6- Final view after the malware already obtained bank credentials reinforcing the concept that this application is a tool created under the covid-19 context.

Abbildung 6 – Letzte Meldung (nachdem die Malware bereits Anmeldeinformationen abgerufen hat), in der nochmals betont wird, dass es sich bei der App um ein Tool handelt, das zum Schutz des Kunden während der Pandemie entwickelt wurde.

Im Hintergrund kontaktiert die Malware den Command-and-Control-Server, der in derselben Domäne gehostet wird, die auch für die Bereitstellung verwendet wird, und sendet die Anmeldeinformationen und alle SMS-Nachrichten des Benutzers über https als Abfrageparameter (als Teil der URL), was dazu führen kann, dass die sensiblen Daten in den Web-Serverprotokollen und nicht nur am endgültigen Zielort des Angreifers gespeichert werden. In der Regel nutzt Malware dieser Art nur wenig Sicherheitsvorkehrungen bei der Verarbeitung gestohlener Daten. Es überrascht daher nicht, wenn sie von anderen kriminellen Gruppen abgefangen werden, was das Risiko für die Opfer noch erhöht. In Abbildung 8 ist ein Screenshot einer tatsächlichen Seite zu sehen, die die Struktur zur Anzeige der gestohlenen Daten enthält.

Figure 7 - Malicious method related to exfiltration of all SMS Messages from the victim's device.

Abbildung 7 – Bösartige Methode zur Exfiltration aller SMS-Nachrichten vom Gerät des Opfers.

Spalten im Tabellenkopf: Datum, Von, Nachricht, Benutzer, Passwort, Kennung:

Figure 8 – Exposed page in the C2 that contains a table to display SMS messages captured from the infected devices.

Abbildung 8 – Aufgedeckte Seite mit einer Tabelle zur Anzeige von SMS-Nachrichten, die von den infizierten Geräten erfasst wurden.

Diese betrügerische Bank-App ist besonders interessant, da es sich um eine von Grund auf neu entwickelte Malware handelt, die unabhängig von den bekannten und leistungsfähigeren Banking-Trojaner-Frameworks agiert, die auf dem Schwarzmarkt unter Cyberkriminellen gehandelt werden. Hierbei handelt es sich eindeutig um eine lokale Entwicklung, die sich in Zukunft zu einer ernsthafteren Bedrohung entwickeln könnte, da der dekompilierte Code zeigt, dass die Klasse “Bedienungshilfen” zwar vorhanden, aber nicht implementiert ist, was darauf hindeutet, dass die Malware-Autoren versuchen, das bösartige Verhalten ausgereifterer Malware-Familien nachzuahmen. Hinsichtlich der möglichen Verschleierung ihres Vorgehens enthält die Malware keine Technik, um eine Analyse, Erkennung oder Dekompilierung zu vermeiden, was darauf hindeutet, dass sie sich noch in einem frühen Stadium der Entwicklung befindet.

IoC

SHA256:

  • 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
  • b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
  • 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
  • 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0

 

Domänen:

  • https[://]appmx2021.com
FacebookLinkedInTwitterEmailCopy Link

Bleiben Sie auf dem Laufenden

“Folgen Sie uns, um alle Neuigkeiten von McAfee und zu aktuellen Sicherheitsbedrohungen für Privatanwender und Mobilgeräte zu erfahren.”

FacebookTwitterInstagramLinkedINYouTubeRSS

Mehr von Internet-Sicherheit

Back to top