Mamont: Android-Bankingtrojaner tarnt sich als Chrome

15.04.2024
G DATA Blog

Viele Menschen tätigen ihre Bankgeschäfte heute online. Und da mobile Geräte eine der beliebtesten und bequemsten Möglichkeiten zum Einkaufen und Bezahlen sind, fühlen sich Kriminelle natürlich davon angezogen. Ein aktuelles Beispiel für eine Malware, die speziell auf Online-Banking abzielt, zeigt, wie leicht es ist, auf Malware hereinzufallen.

Mobile Banking bietet zwar Komfort und Flexibilität, birgt aber auch erhebliche Sicherheitsrisiken. Bösartige Anwendungen geben sich oft als beliebte Anwendungen aus, um die Nutzer dazu zu verleiten, sie auf ihren mobilen Geräten zu installieren. Einmal installiert, können solche schädlichen Apps sensible Informationen wie Bankdaten stehlen, was zu finanziellen Verlusten führen kann. 

Profitieren vom Vertrauen anderer

Vor kurzem sind wir auf einen Trojaner gestoßen, der sich als Google Chrome tarnt. Die Malware nutzt die Beliebtheit und das Vertrauen, das mit Chrome verbunden ist, aus, um Benutzer zum Herunterladen und Installieren zu verleiten. Derartige Malware wird häufig über Phishing- und Spam-Nachrichten verbreitet.

Die Malware ahmt das Chrome-Symbol nach, so dass es kaum von der echten Anwendung zu unterscheiden ist, abgesehen von einem schwarzen Konturstrich im Logo, der bei Unachtsamkeit leicht übersehen werden kann. Ahnungslose Benutzer könnten die Malware ausführen, wodurch ihre Daten gestohlen und zu ihrem finanziellen Nachteil verwendet werden könnten.

Teure Berechtigungen

Nach der Installation wird die Malware-Anwendung sofort ausgeführt. Die Anwendung fordert vom Benutzer die Erlaubnis zum Tätigen und Verwalten von Anrufen. Außerdem bittet sie um die Erlaubnis, SMS-Nachrichten zu senden und zu empfangen. Nachdem die Malware die erforderlichen Berechtigungen erhalten hat, teilt sie dem Benutzer fälschlicherweise mit, dass er als Gewinner eines Geldpreises ausgewählt wurde, und fordert ihn auf, seine Telefon- und Kartennummer einzugeben. Anschließend fordert die Anwendung den Benutzer auf, die App in den nächsten 24 Stunden nicht zu löschen, um das vermeintliche Preisgeld empfangen zu können.

Zielgruppe

Der Text ist jetzt auf Russisch, und der Trojaner scheint sich an ein russischsprachiges Publikum zu richten. Die Malware trägt den Namen "Mamont", das russische Wort für ein Wollmammut. Mamont" ist eine umgangssprachliche Bezeichnung für ein Opfer von Internetkriminalität. Die Malware beginnt unbemerkt mit der Untersuchung der SMS-Nachrichten auf dem Telefon des Opfers und sucht sowohl nach "interessanten" Absendern als auch nach vorher festgelegten Schlüsselwörtern im Nachrichtentext. Ihr Ziel ist es, Nachrichten zu identifizieren, die für eine Reihe von Finanzdienstleistern wie PayPal, WebMoney usw. relevant sind.

Upload bei Telegram

Die ausgewählten Nachrichten werden anschließend an den Telegram-Kanal des Angreifers weitergeleitet. Außerdem kann die Malware neu empfangene SMS-Nachrichten abfangen und an denselben Telegram-Kanal senden:

Sicherheit steht auf dem Spiel

Mit den genannten Fähigkeiten kann der Angreifer die Telefonnummer und die Kartennummer des Opfers erlangen und SMS-Nachrichten abfangen, die Authentifizierungscodes enthalten, die zur Autorisierung von Transaktionen mit Finanzinstituten erforderlich sind.

Neben dem finanziellen Risiko stellt die Malware auch eine ernsthafte Bedrohung für die Privatsphäre dar. Durch das Durchkämmen von SMS-Nachrichten und deren Weiterleitung an den Angreifer können persönliche und potenziell sensible Informationen preisgegeben werden. Dabei kann es sich um private Gespräche, persönliche Details oder sogar vertrauliche berufliche Informationen handeln. Daher ist es wichtig, sich dieser Malware bewusst zu sein, nicht nur, um sich vor finanziellen Verlusten zu schützen, sondern auch, um die eigene Privatsphäre zu wahren.

Malware-Bedrohungen wie der "Mamont"-Trojaner sind in der Tat keine Einzelfälle. Cyber-Kriminelle entwickeln ständig neue und raffiniertere Methoden, um Schwachstellen auszunutzen, Informationen zu stehlen und Opfer zu betrügen. Es ist wichtig, wachsam zu sein, Software und Geräte auf dem neuesten Stand zu halten und die empfohlenen Sicherheitspraktiken zu befolgen, um sich vor solchen Bedrohungen zu schützen.

Wie man sich vor mobilen Banking-Trojanern schützt

Es ist wichtig, Maßnahmen zu ergreifen, um sich vor Mamont Spy Banker und ähnlichen Bedrohungen zu schützen. Auch wenn die Malware in diesem Fall in erster Linie auf russischsprachige Benutzer abzielt, wurde ähnliche Malware beobachtet, die auch auf andere Regionen und Länder zugeschnitten war - darunter auch Deutschland. Hier sind einige Präventivmaßnahmen, die Sie ergreifen können:

  1. Laden Sie Apps aus vertrauenswürdigen Quellen herunter: Laden Sie nur Apps aus offiziellen App-Stores herunter, z. B. aus dem Google Play Store für Android-Nutzer. Selbst dann sollten Sie vor dem Herunterladen den Herausgeber, die Bewertungen und die Berechtigungen der App sorgfältig prüfen.
  2. App-Berechtigungen prüfen: Prüfen und hinterfragen Sie immer die Berechtigungen, die eine App anfordert. Seien Sie misstrauisch gegenüber Apps, die Berechtigungen anfordern, die für ihre Funktion nicht notwendig sind.
  3. Regelmäßige Updates: Halten Sie Ihr Gerät und alle seine Anwendungen auf dem neuesten Stand. Updates enthalten oft Sicherheits-Patches, die vor bekannter Malware schützen können.
  4. Seien Sie vorsichtig bei verdächtigen Links und Nachrichten: Vermeiden Sie es, auf Links zu klicken oder Anhänge von unbekannten Quellen herunterzuladen. Diese werden oft bei Phishing-Angriffen verwendet, um Malware zu verbreiten.
  5. Wissen ist Macht: Informieren Sie sich über die neuesten Bedrohungen und wie man sie erkennt. Je mehr Sie wissen, desto besser können Sie sich schützen.
  6. Sideloading: Meiden Sie Apps aus unbekannten Quellen

Denken Sie daran, dass keine Methode narrensicher ist, aber diese Schritte können Ihr Risiko, dem Mamont Spy Banker zum Opfer zu fallen, erheblich verringern.

Information für Forschende:

424f6a5ccdd9c614836807fab46c2a4cf1eeab7bdbdd2636b20204c585b9bdac

Von Banu Ramakrishnan
Malware Analyst

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein