Android-Banking-Malware für Kleinkinder macht wieder Furore
Die Toddler-Banking-Malware ist nicht gerade ganz neu, aber noch relativ neu. Es tauchte zum ersten Mal im Januar 2021 auf den Radaren von Sicherheitsforschern auf und wurde in Kampagnen entdeckt, die Android-Benutzer in mehreren Ländern Kontinentaleuropas angriffen. Die Malware macht erneut Schlagzeilen, nachdem Sicherheitsforscher des PRODAFT Threat Intelligence-Teams einen ausführlichen Bericht veröffentlicht hatten, über den ZDNet berichtete.
Kleinkinder wurden bei Angriffen auf Opfer mit bis zu 60 verschiedenen europäischen Banken gesichtet. In einem Bericht vom Sommer 2021 wurde festgestellt, dass sich die meisten Angriffe auf Benutzer in Spanien und Italien konzentrierten, es jedoch Bemühungen gab, Toddler in anderen kontinentaleuropäischen Ländern sowie in Großbritannien zu verbreiten.
Die primäre Verbreitungsmethode für die Android-Malware sind .apk-Dateien, die aus anderen Quellen als dem offiziellen Google Play Store stammen. Bisher gab es keine Hinweise darauf, dass Apps Toddler im offiziellen Google Store enthalten. Es gab jedoch Fälle von legitimen Websites, die Toddler gehostet haben, nachdem sie von den Hackern kompromittiert wurden.
Alle Fälle von echten mobilen Infektionen, die sich als Kleinkinder herausstellten, zielten alle auf dieselben 18 Banken ab. Interessanterweise konzentrierte sich die Mehrheit der Infektionen alle auf nur 5 dieser 18 Finanzinstitute. Laut den Sicherheitsforschern, die die Daten im Bericht zusammengestellt haben, könnte dies auf eine frühere Phishing-Kampagne hinweisen, die mit SMS-Textnachrichten durchgeführt wurde. Spanien ist der größte Hotspot für Angriffe und insgesamt wurden über 7600 Android-Geräte von Kleinkindern getroffen.
Toddler ist ungefähr so vielseitig wie die meisten anderen beliebten Banking-Malware. Es hat die Fähigkeit, Bankdaten zu stehlen, Screenshots zu machen, sogar eingehende Multi-Faktor-Identifikationscodes abzufangen, SMS-Nachrichten abzufangen und eingehende Befehle von seinen Befehls- und Kontrollservern zu verarbeiten.
Wenn es darum geht, Bankdaten zu sammeln, verwendet Toddler ein Overlay, das legitime Anmeldebildschirme nachahmt. Die Malware verfügt über einen integrierten Android-App-Monitor und sobald der Benutzer sein legitimes Banking-Tool auf seinem Telefon oder Tablet startet, wird das Overlay aktiviert und ist bereit, alles zu stehlen, was darin eingegeben wird.
Ein weiteres Merkmal, das Toddler besonders interessant macht, sind seine extrem hartnäckigen Persistenzmechanismen. Die Malware verhindert, dass das Android-Gerät neu gestartet wird, und die Forscher betonten, dass der Prozess zum Entfernen von Kleinkindern von einem Gerät „großes technisches Know-how“ erfordert.