Der Sicherheitsanbieter für mobile Apps Promon hat eine noch nie dagewesene Android-Banking-Malware entdeckt. Die als Snowblind bezeichnete Malware nutzt eine neuartige Technik, um Funktionen des Android-Betriebssystems auszunutzen und Banking-Apps zu kompromittieren. Das Unternehmen sagt, dass die Malware auf allen Android-Geräten wirksam ist, auch auf den besten mit den stärksten Sicherheitsmaßnahmen. Sie erfordert Sicherheitsverbesserungen auf App-Ebene, um potenzielle finanzielle Verluste zu vermeiden.
Snowblind ist die erste Android-Banking-Malware ihrer Art
Snowblind scheint eine der fortschrittlichsten Android-Banking-Malware mit neuartigen Anti-Erkennungstechniken zu sein. Laut Promon manipuliert die Malware eine im Android-Betriebssystem integrierte Sicherheitsfunktion des Linux-Kernels namens „seccomp“ (Secure Computing). Die Funktion „steuert, was eine App tun darf, indem sie die Systemaufrufe oder Anfragen begrenzt, die eine Anwendung an das Betriebssystem stellen kann.“
Wie die meisten anderen Schadprogramme nutzt Snowblind die Zugänglichkeitsdienste aus, um auf Systemebene auf ein infiziertes Gerät zuzugreifen und ohne das Wissen des Benutzers bösartige Aktivitäten auszuführen. Da Android jedoch über Sicherheitsmaßnahmen verfügt, um bösartige Zugänglichkeitsdienste zu erkennen, ändert es Apps, um eine Erkennung zu verhindern. Es „führt einen normalen Umpackangriff“ mit einer weniger bekannten Technik auf Basis von seccomp durch.
Laut Promon missbraucht Snowblinds Technik die Seccomp-Funktionalität, „um Systemaufrufe abzufangen und zu manipulieren“, wodurch Sicherheitsprüfungen und Manipulationsschutzmechanismen umgangen werden können. Auf diese Weise können die Angreifer heimlich bösartige Aktivitäten auf dem Gerät ausführen. Sie können andere Funktionen der Malware nutzen, um Anmeldeinformationen für eine Banking-App zu stehlen und nicht autorisierte Transaktionen durchzuführen.
Um ihnen die Arbeit zu erleichtern, kann Snowblind Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung (2FA) und biometrische Verifizierung deaktivieren. Es kann auch sensible personenbezogene Daten und Transaktionsdaten aus der App extrahieren. Diese Daten können später für betrügerische Aktivitäten, einschließlich Identitätsbetrug, missbraucht werden. Da Snowblind die App selbst angreift, ist es auf allen modernen Android-Geräten wirksam.
Die Technik von Snowblind ist neu, daher sind die meisten Apps anfällig
Das Sicherheitsunternehmen hat herausgefunden, dass die Android-Malware Snowblind derzeit speziell auf Banking-Android-Apps in Südostasien abzielt. Allerdings fand das Unternehmen seine auf Seccomp basierende Technik „interessanter als die Malware selbst“, und zwar so sehr, dass Bedrohungsakteure bald weitere Arten von Exploits und Angriffen entwickeln könnten. Erschwerend kommt hinzu, dass es sich um eine neue Technik handelt und die meisten modernen Apps keinen Schutz dagegen bieten.
Promon gibt an, Schutzmaßnahmen gegen Snowblind und andere potenzielle Varianten von seccomp-basierten Angriffen und Malware-Stämmen entwickelt zu haben. Version 6.5.2 oder neuer der Promon SHIELD-Plattform bietet diesen Schutz. Entwickler können die Lösung einsetzen, um ihre Apps zu schützen. Für Endbenutzer sind diese Arten von leistungsstarker Banking-Malware eine Erinnerung daran, dass wir keine Apps aus unbekannten Quellen installieren sollten. Laden Sie niemals Dateien von zwielichtigen Websites oder über weitergeleitete Links herunter. Besuchen Sie immer die offizielle Website eines Entwicklers oder einen offiziellen App Store, um Apps herunterzuladen.
