Banking-Trojaner tarnt sich als legitime App

Cybersecurity-Anbieter Kaspersky hat eine neue Kampagne des Banking-Trojaners Zanubis entdeckt. Wie das Unternehmen mitteilt, hatte es die Malware bisher auf Nutzerinnen und Nutzer von Finanz- und Krypto-Apps in Peru abgesehen. Nun seien die Cyberkriminellen noch einen Schritt weiter gegangen und tarnen Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT. Mithilfe von Obfuscapk, einem Obfuskator für Android-APK-Dateien, verschleiern die Akteure die App. Um Opfer weit in die Irre zu führen, lädt der Trojaner mithilfe von Webviewer eine legitime SUNAT-Website, wie Kaspersky erklärt.  

Der Trojaner verwendet zur Kommunikation mit dem Server Websockets und die Bibliothek Socket.IO. Damit kann die Verbindung auch bei technischen Schwierigkeiten aufrechterhalten werden. Durch Fernprogrammierung kann die Malware auf beliebige Dateien oder Apps zugreifen und Informationen stehlen. Die Etablierung einer zweiten Verbindung, getarnt als Android-Update, erlaubt es Cyberkriminellen laut Kaspersky dann, komplette Kontrolle über das Gerät zu erlangen.

Asymcrypt und Lumma haben es auf Krypto-Wallets abgesehen

Zusätzlich macht der Security-Spezialist auf eine neue Malware namens Asymcrypt aufmerksam. Sie wird im Darknet verkauft und dient dazu, Krypto-Wallets zu plündern. Es handelt sich hierbei um eine weiterentwickelte Version des Double-Finger-Loaders, der vorgibt, zu einem TOR-Netzwerkdienst zu führen.

Cyberkriminelle können damit beispielsweise die Injektionsmethode oder Startpersistenz für schädliche DLLs individuell anpassen. So lässt sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken. Bei der Ausführung werde das Bild entschlüsselt und die Payload im Speicher aktiviert.

Ausserdem ist Kaspersky auf den Lumma-Stealer gestossen. Dabei handelt es sich um eine ganze Familie von Malware-Programmen, die sich stets sukzessive weiterentwickle. Als docx-zu.pdf-Konverter verkleidet, löst das Programm den Payload aus, sobald das Opfer hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe runterlädt. Dieser Stealer zielt auf zwischengespeicherte Dateien, Konfigurationsdaten und Protokollen von Krypto-Wallets ab. Dafür gibt sich Lumma als Browser-Plugin aus, unterstützt aber auch die eigenständige Binance-App.

"Cyberkriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Kryptowährungen vor und geben sich sogar als staatliche Institutionen aus", sagt Tatyana Shishkova, leitende Sicherheitsforschering im Global Research and Analysis Team bei Kaspersky. 

Apropos: Gut 400’000 von Malware infizierte Files haben Kaspersky-Produkte im Jahr 2022 identifiziert – und zwar jeden Tag. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.