Barracuda full logo

Drei Dinge, die man über Banking-Trojaner wissen muss

Themen:
21. Juni. 2023
|
Christine Barry

Die Insolvenzen dreier Großbanken zu Beginn dieses Jahres lösten in der Öffentlichkeit Schockwellen aus. Eine Bankenkrise macht (fast) jeden nervös, was wiederum neue Möglichkeiten für Social Engineering, Phishing und andere Angriffe schafft, die darauf abzielen, an Ihr Geld zu kommen. Ein Angriff, den wir noch nicht behandelt haben, ist der Banking-Trojaner, eine sehr interessante und gefährliche Art von Malware.

Die Zahl der Banking-Trojaner nimmt rasant zu, und viele von ihnen werden immer raffinierter. Trojaner werden über App Stores, E-Mail-Anhänge, kompromittierte Websites und andere Methoden auf Desktop-Systemen und Mobilgeräten verbreitet, die die Benutzer/Opfer dazu verleiten, der Installation zuzustimmen. Möglicherweise finden Sie im Google Play Store eine App, die scheinbar die mobile App Ihrer Bank ist. Sie hat das richtige Logo und den richtigen Namen und sieht legitim aus. Leider handelt es sich bei dieser App um einen Android-Mobile-Banking-Trojaner, der sich als echte mobile App ausgibt. Es wird nicht lange dauern, bis diese Anwendung gefunden und aus dem Google Play Store entfernt wird, aber bevor das passiert, installieren Sie sie und erteilen alle angeforderten Berechtigungen. Jetzt haben Sie eine bösartige App auf Ihrem Smartphone, die alle sensiblen Daten stiehlt, die sie finden kann.

Was ist ein Banking-Trojaner?

Ein Trojaner (kurz für „Trojanisches Pferd“) ist eine Art bösartige Software, die nützlich erscheint, im Hintergrund jedoch schädliche Angriffe ausführt. Trojaner sind für unterschiedliche Zwecke konzipiert, etwa zum Diebstahl von Daten oder zur Fernsteuerung eines Systems. Viele moderne Trojaner führen Dutzende von Funktionen aus, sodass sich viele dieser verschiedenen Typen überschneiden und die Unterscheidung nicht mehr so wichtig ist, wie sie einmal war. Der Banking-Trojaner wird jedoch als solcher identifiziert, weil er mit den notwendigen Fähigkeiten ausgestattet ist, um Geld von Online-Konten zu stehlen.

Wie bereits erwähnt, glauben die Benutzer/Opfer, die den Trojaner installieren, dass es sich um etwas handelt, das sie haben möchten.  Dies kann eine Antivirenanwendung, ein Handyspiel, ein Dateimanager oder sogar ein Anhang mit Makros sein. Es ist wichtig zu beachten, dass das Opfer die Anwendung bereitwillig installiert, weil es dabei alle Systemberechtigungen gewährt, die die App anfordert. Der Trojaner nutzt diese Systemberechtigungen dann aus, um Angriffe durchzuführen und sich der Entdeckung zu entziehen. 

Im Laufe der Jahre haben Bedrohungsakteure ihre Malware an neue Systemdesigns, stärkere Banksicherheitsfunktionen und die vielen verschiedenen Anwendungen angepasst, die Menschen auf ihren Smartphones und Desktop-Geräten verwenden.  Die Bedrohungsakteure haben ihre Angriffe immer weiter verbessert und neue Funktionen hinzugefügt, damit der Trojaner noch effektiver Daten stehlen und seine Aktivitäten verbergen kann.

Handwerkszeug

Banking-Trojaner stehlen Informationen, die im System gespeichert oder über dieses übertragen werden. Voraussetzung dafür ist, dass der Trojaner auf viele Unterkomponenten eines Systems zugreifen kann. Der Zeus-Banking-Trojaner war bei seiner Entdeckung im Jahr 2007 der erste seiner Art. Es war nicht die erste Infostealer-Malware, aber es war der erste Trojaner, der speziell auf Bank- und andere Online-Finanzdaten abzielte. Er war auch der erste, der mit einem Konkurrenten „fusionierte“, damit der Entwickler zu anderen Dingen übergehen konnte. Der Zeus-Quellcode wurde auch in einem Hacking-Forum veröffentlicht, was die Entwicklung von Zeus-Varianten vorangetrieben hat.

Zeus und andere Banking-Trojaner verfügen in der Regel über eine Kombination der folgenden Fähigkeiten:

  • Aufbau der Kommunikation mit dem Command-and-Control-Server (C&C) des Bedrohungsakteurs, um gestohlene Daten zu übertragen und neue Anweisungen entgegenzunehmen
  • Erfassen von Zugangsdaten, Erstellen von Screenshots und Protokollieren von Tastatureingaben
  • Stehlen von Informationen aus Webbrowsern und Windows PStore
  • Übernahme von Online-Banking-Sitzungen, um betrügerische Transaktionen zu erstellen

Entwickler fügen Trojanern immer wieder neue Funktionen hinzu, damit sie Sicherheitsmaßnahmen umgehen, auf mehr Gerätetypen und Subsysteme zugreifen oder weitere Funktionen wie das Abrufen automatischer Updates vom C&C-Server hinzufügen können. Von dieser Weiterentwicklung profitieren nicht nur die Betreiber der aktualisierten Schadsoftware. Der Quellcode wird oft von rivalisierenden Banden kopiert, sodass sie über vorgefertigte Malware verfügen, die sie verwenden können, während sie sich auf die Bereitstellung und Verbesserungen/Upgrades konzentrieren. Fast alle modernen Trojaner sind Nachkommen von etwas, das es schon seit vielen Jahren gibt.

Der Android-Banking-Trojaner SOVA ist ein gutes Beispiel dafür, wie das funktioniert. Forscher haben in weniger als zwei Jahren mindestens drei Versionen von SOVA beobachtet, jede mit neuen Funktionen, die die Malware effektiver machen. Im Oktober 2022 fügte der SOVA-Entwickler die Möglichkeit hinzu, Bildschirmklicks auszuführen, einen Ransomware-Angriff zu starten, einen Bildschirm auf andere mobile Apps zu legen und mit einem Command-and-Control-Server zu kommunizieren, um Anweisungen zu erteilen. SOVA hatte es ursprünglich auf Institutionen in den USA, Russland und Spanien abgesehen, aber es wurden schnell weitere Länder in die Liste der Ziele aufgenommen. Diese robuste Entwicklung und dieses Wachstum erregten die Aufmerksamkeit der kriminellen Untergrundszene und der Sicherheitsforschungsgemeinschaften.

Ein neuer Banking-Trojaner namens Nexus wurde Anfang des Jahres entdeckt, die Malware ist jedoch möglicherweise bereits seit Sommer 2022 aktiv. Nexus enthält Teile des SOVA-Quellcodes und kann Übernahmeangriffe gegen Online-Finanzkonten durchführen.  Diese Account-Takeover-Angriffe (ATO) werden durch die folgenden Hauptfunktionen ermöglicht:

  • Diebstahl von Zwei-Faktor-Authentifizierungscodes aus SMS-Nachrichten und Google Authenticator. Nexus kann diese Funktion auch aktivieren/deaktivieren und die SMS-Nachricht mit dem Code löschen.
  • Sammeln bestimmter Arten von Informationen aus Krypto-Wallets, wie z. B. den Kontostand und die Wallet-Seed-Phrase/das Master-Passwort.
  • Diebstahl von Cookies von Zielwebsites. Cookies beinhalten Daten wie den Anmeldestatus, Website-Einstellungen, personalisierte Inhalte usw. Die Websites gehören zu den Finanzinstituten, die der Trojaner angreifen soll.
  • Ausführen von Keylogging- und Overlay-Angriffen, um Zugangsdaten von Benutzern zu stehlen. Ein Keylogging-Angriff zeichnet Ihre Tastatureingaben auf, während Sie die Daten eingeben, und sendet diese Daten an den Bedrohungsakteur. Der Overlay-Angriff repliziert ein aktives Fenster und legt es über ein legitimes Programmfenster. Wenn der Benutzer Zugangsdaten in das Anmeldeformular eingibt, erfasst das gefälschte Fenster die Eingabe über die Tastatur oder die Aktionen auf dem Touchscreen.

Der SOVA-Entwickler „Sovenok“ hat einen Botnet-Betreiber beschuldigt, den SOVA-Quellcode gestohlen und ihn Nexus-Entwicklern zugänglich gemacht zu haben. Forscher haben starke Beweise für diese Behauptung gefunden, sodass Nexus als eine neue Version von SOVA identifiziert wurde. Forscher haben auch Teile von SOVA in anderen Banking-Trojanern gefunden, was darauf hindeutet, dass der Quellcode nicht nur den Nexus-Entwicklern zur Verfügung gestellt wurde.

Jeder Angreifer mit genügend Geld kann den Nexus-Trojaner nutzen, da er als Malware-as-a-Service (MaaS) zur Verfügung gestellt wird. Im Gegensatz zu SOVA kann Nexus nicht für Ziele in Russland und den verbleibenden GUS-Ländern verwendet werden.  Dies wird durch eine von den Nexus-Entwicklern hinzugefügte Funktion „Land prüfen“ verhindert.

Wenn der SOVA-Code gestohlen und von Nexus verwendet wurde, dann ist dies das perfekte Beispiel dafür, wie eine ausgeklügelte Malware gestohlen, umfunktioniert und selbst für die unerfahrensten Angreifer zugänglich gemacht werden kann.

Verbreitung

Es gibt mehrere Möglichkeiten, wie ein Gerät mit einem Trojaner infiziert werden kann, und es werden ständig weitere Verbreitungsmethoden entwickelt. Diese Liste ist nicht vollständig, aber man gewinnt damit eine Vorstellung davon, wie die Verbreitung von Malware funktionieren kann.

Mobile Apps

Google Play ist aufgrund der großen Anzahl von Benutzern, Apps und Downloads bei Angreifern beliebt. Google hat mehrere Sicherheitsebenen, um zu verhindern, dass infizierte Apps hochgeladen werden, bzw. um die Apps zu entdecken, wenn sie es in den Store schaffen. Allerdings kann eine infizierte App bis zu dem Moment, in dem sie entdeckt und entfernt wird, bereits von Hunderttausenden von Benutzern heruntergeladen worden sein. Wenn der Trojaner mehrere Apps infiziert, kann diese spezielle Malware auf hunderten von Millionen Geräten installiert werden.

Google Play-Apps sind oft auch auf App-Websites von Drittanbietern zu finden, und diese Websites verfügen möglicherweise nicht über Sicherheitsverfahren, um infizierte Apps zu erkennen und abzurufen. Daher kann eine infizierte App, die für Google Play erstellt wurde, auch dann noch eine Bedrohung darstellen, wenn sie bereits aus dem Store entfernt wurde.

In ähnlicher Weise kann eine mit Dropper-Malware infizierte App zusätzliche Malware auf ein Gerät herunterladen. Da so viele Bedrohungsakteure ihre Malware über Google Play verfügbar machen wollen, gibt es einen lukrativen kriminellen Markt für Dropper-as-a-Service (DaaS)-Abonnements. Ein Beispiel ist DawDropper, das im August 2022 in siebzehn Google Play-Apps gefunden wurde. Die DawDropper-Betreiber kümmern sich um den Aufbau der Abonnement-Infrastruktur und die Aufnahme ihrer Dropper-Apps in Google Play, während die DaaS-Abonnenten ihre Malware auf den DawDropper-Cloud-Service hochladen.

Messaging und E-Mail

Auch SMS und Social-Media-Nachrichten sind beliebte Wege zur Verbreitung von Trojanern und anderer Malware. Bedrohungsakteure erstellen eine Nachricht über etwas, das sofortige Aufmerksamkeit erfordert.  Verspätete/abgesagte Lieferungen und Anwendungsaktualisierungen sind häufige Themen für diese Nachrichten. Die Nachricht enthält in der Regel einen bösartigen Link, der das Gerät infiziert. Dies war die primäre Infektionsmethode für die Banking-Trojaner FluBot und Medusa.

Auch Dokumente, die ein bösartiges Makro enthalten, können zur Einschleusung von Banking-Trojanern genutzt werden. Diese Dokumente werden über Spam- und Phishing-Angriffe verbreitet. Der Angriff beginnt, wenn der Empfänger das Dokument öffnet und das Makro aktiviert oder auf einen bösartigen Link klickt. Dies ist einer der häufigsten Wege, ein System mit Malware zu infizieren, und war die primäre Methode, die von den Dridex-Betreibern verwendet wurde.

Kompromittierte Websites und infizierte Software

Bösartige Online-Werbung oder „Malvertising“ ist eine gängige Methode zur Infektion mobiler Geräte und Desktops. Kriminelle erstellen entweder eine Anzeige, die bösartigen Code enthält, oder sie injizieren ihren bösartigen Code in eine bestehende legitime Anzeige.  Die Werbenetzwerke zeigen diese Anzeigen dann an, ohne zu wissen, dass die Anzeigen infiziert sind. Der Angriff auf den Benutzer beginnt, wenn der Webbrowser auf die bösartige Anzeige trifft. Der Code zeigt bösartige Pop-up-Fenster an, in denen er Sie um Erlaubnis bittet, etwas zu tun (Flash aktualisieren, Benachrichtigungen anzeigen usw.), oder er beginnt einfach, Malware auf Ihrem System zu installieren, indem er Sicherheitslücken ausnutzt, die er in Ihrem System findet. Diese Art von Angriff beinhaltet normalerweise ein Exploit-Kit, das den Banking-Trojaner oder andere Malware installiert. 

Schließlich können Sie sich auch infizieren, indem Sie raubkopierte Software herunterladen, zweifelhafte Websites besuchen oder einen USB-Stick durchsuchen, den Sie auf dem Parkplatz gefunden haben. Vermeiden Sie so etwas.

Wie Sie sich schützen können

Der beste Weg, sich vor Malware zu schützen, besteht darin, alle Angriffsflächen zu verteidigen. Sie können eine Schutzschicht mit Anti-Malware-Software auf dem Gerät installieren, aber die Geräte eines Unternehmens benötigen mehrere Verteidigungsschichten. Barracuda Managed XDR erkennt Bedrohungen schnell und reduziert die Reaktions- und Abwehrzeit. Barracuda SecureEdge bietet Secure Internet Access (SIA) für Unternehmensgeräte, unabhängig von deren Standort. Barracuda Email Protection schützt vor allen 13 Arten von E-Mail-Bedrohungen und umfasst forensische Tools und Maßnahmen zur Behebung nach der Zustellung.   

 

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Bulk remediation for MSPs: Protect every customer with a single action
Bulk remediation for MSPs: Protect every customer with a single action
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
 BarracudaONE supercharges MSP operations with new capabilities
BarracudaONE supercharges MSP operations with new capabilities
 Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.