Cybersicherheitsforscher haben herausgefunden, dass ein beliebter Mobile-Banking-Trojaner aktualisiert und zum Verkauf in Dark-Web-Foren umbenannt wurde.
ThreatFabric-Experten haben kürzlich den äußerst gefährlichen Android-Malware-Typ Octo identifiziert, der es dem Bedrohungsakteur ermöglicht, den kompromittierten Endpunkt (öffnet sich in einem neuen Tab) von einem entfernten Standort aus auszunutzen.
Der Angreifer nutzt den Accessibility-Dienst, um die Aktionen aus der Ferne auszuführen, und ein Live-Streaming-Modul (mit Android MediaProjection), um den Bildschirm anzuzeigen.
ExoCompact ist zurück
Durch das Abdecken des Bildschirms mit Schwarz kann der Angreifer dem Benutzer vorgaukeln, das Gerät sei ausgeschaltet. Die Malware kann auch die Bildschirmhelligkeit auf Null setzen und alle Benachrichtigungen deaktivieren.
Sobald das Gerät bereit ist, kann der Angreifer alles Mögliche tun, Textnachrichten schreiben, die Zwischenablage ändern, Daten einfügen usw. Es funktioniert auch als Keylogger und ermöglicht den Diebstahl von Passwörtern und Kreditkartendaten.
Nach Erhalt der Probe stellten die Forscher fest, dass es sich bei Octo im Wesentlichen um eine verbesserte und weiterentwickelte Version einer alten Android-Malware namens ExoCompact handelt.
ExoCompact ist ein Trojaner, dessen Autor angeblich im Jahr 2018 aufgehört hat und dessen Quellcode online durchgesickert ist. Allerdings behaupten Forscher nun, dass es sich um denselben Bedrohungsakteur handelt, der jetzt Octo vorschlägt, eine Person, die als „Architekt“ oder „Viel Glück“ bekannt ist.
Es gelang ihnen, die Malware auf sieben im Play Store gefundene Apps aufzuspüren:
- Pocket Screen Creator (com.moh.screen)
- Schnellreiniger 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Sicherheit der Postbank (com.carbuildz)
- Pocket Screen Creator (com.cutthousandjs)
- Sicherheit BAWAG PSK (com.frontwonder2)
- Installieren der Play Store-App (com.theseeye5)
Alle Apps wurden inzwischen aus dem Google App-Repository entfernt, aber mindestens 50,000 Geräte wurden kompromittiert.
Über BleepingComputer (Wird in einem neuen Tab geöffnet)