19 Dez 2016

Faketoken – Mobiler Banking-Trojaner verschlüsselt jetzt Daten

Malware

Die Cybersicherheitsexperten von Kaspersky Lab haben eine neue Modifikation des mobilen Banking-Trojaners ,Faketoken‘ identifiziert. Der Schädling verschlüsselt Nutzerdaten und versteckt sich hinter zahlreichen Spielen und Programmen, wie etwa Adobe Flash Player. Der mobile Trojaner ist in der Lage, die Zugangsdaten von mehr als 2.000 Android-Finanz-Apps abzugreifen. Derzeit sind bereits 16.000 Opfer aus 27 Ländern betroffen. Neben Deutschland liegen die Schwerpunkte der Aktivitäten in Russland, der Ukraine und in Thailand.

Die neu bei Faketoken hinzugefügte Verschlüsselungsfunktion ist unüblich, weil es mobile Ransomware normalerweise eher auf das Blockieren des Geräts als auf die Verschlüsselung von darauf befindlichen Daten, die von den Nutzern oft in der Cloud gesichert werden, abgesehen hat. Faketoken hingegen verschlüsselt Nutzerdaten wie Dokumente, Videos oder Fotos mit dem symmetrischen Verschlüsselungsalgorithmus AES, den Nutzer in gewissen Fällen entschlüsseln können, ohne das Lösegeld zu bezahlen.

Bei der Erstinfektion fordert der Trojaner Administrator-, Overlay-Rechte für andere Apps oder die Berechtigung als Standard-SMS-App ein. Der Anwender hat dabei oftmals keine Wahlmöglichkeit. Mit den erzwungenen Rechten hat Faketoken dann Zugriff auf Kontaktdaten und Dateien der Nutzer. Weitere Daten werden über Phishing gestohlen.

Faketoken baut Phishing-Seiten in 77 Sprachen
Faketoken holt sich nach der Installation von seinem Command-and-Control-Server (C&C-Server) eine Datenbank mit Textbausteinen in 77 Sprachen, und generiert damit auf das jeweilige Operationsgebiet sprachlich angepasste Phishing-Nachrichten, mit denen die Gmail-Zugangsdaten der Opfer ausgespäht werden. Über einen Overlay des Google Play Stores und einer passend dazu gefälschte Webseite kommt der Trojaner auch an Kreditkartendaten. Die Experten von Kaspersky Lab haben 2.249 einzelne Finanz-Apps identifiziert, für die Faketoken gefälschte Webseiten generieren kann. Warum die Malware auf den Android-Geräten der Nutzer darüber hinaus Shortcuts für Soziale Netzwerke, Messanger und Browsermit eigenen Anwendungen zu ersetzen versucht, ist noch unklar.

„Die jüngste Modifikation des mobilen Banking-Trojaners Faketoken ist vor allem deswegen interessant, weil einige Funktionen den Angreifern scheinbar kaum Vorteile bieten“, erklärt Roman Unuchek, Senior Malware Analyst bei Kaspersky Lab. „Man muss sie trotzdem sehr ernst nehmen, denn sie könnten die Basis für weitere Entwicklungen darstellen. Durch ihre Offenlegung können sie neutralisiert werden, und die Geräte und Daten der Nutzer bleiben weiterhin sicher“.

Kaspersky Lab empfiehlt nicht nur im Hinblick auf Faketoken allen Android-Anwendern,

  • für regelmäßige Backups der Daten auf den Geräten zu sorgen,
  • bei der Vergabe von Rechten genau zu prüfen, ob Apps diese auch wirklich benötigen

Seit Juli 2016 hat Kaspersky Lab mehrere Tausend Installationen von Faketoken mit Verschlüsselungsfunktion identifiziert. Die Lösungen von Kaspersky Lab erkennen die Modifikationen von Faketoken.