Android-Malware-Familien zielen mit nahezu keiner Erkennung auf 800+ Banking- und Crypto-Apps ab: Zimperium

Gate-News-Mitteilung, 25. April — Das Cybersicherheitsunternehmen Zimperium hat vier aktive Malware-Familien identifiziert — RecruitRat, SaferRat, Astrinox und Massiv — die über 800 Anwendungen in den Bereichen Banking, Kryptowährung und soziale Medien ins Visier nehmen. Die Kampagnen verwenden fortschrittliche Anti-Analyse-Techniken und strukturelle APK-Manipulation, um nahezu null Erkennungsraten gegenüber traditionellen signaturbasierten Sicherheitsmechanismen aufrechtzuerhalten.

Angreifer nutzen Phishing-Websites, betrügerische Jobangebote, gefälschte Software-Updates, SMS-Betrugsmaschen und Werbelockmittel, um Nutzer dazu zu bringen, bösartige Android-Apps zu installieren. Sobald die Schadsoftware installiert ist, fordert sie Berechtigungen für die Bedienungshilfe an, um App-Symbole zu verbergen, Deinstallationsversuche zu blockieren, PINs und Passwörter über gefälschte Sperrbildschirme zu stehlen, Einmalpasscodes abzufangen, Live-Gerätebildschirme aufzuzeichnen und gefälschte Anmeldeseiten über legitime Banking- oder Crypto-Anwendungen zu legen.

Overlay-Angriffe bilden den Kern der Strategie zum Abgreifen von Zugangsdaten. Die Malware überwacht den Vordergrund mithilfe von Accessibility Services und erkennt, wenn ein Opfer eine Finanz-App startet, holt dann eine bösartige HTML-Payload und legt sie über die legitime Oberfläche, um eine überzeugende täuschende Fassade zu erzeugen.

Die Kampagnen nutzen HTTPS- und WebSocket-Kommunikation, um bösartigen Datenverkehr mit normaler App-Aktivität zu vermischen, wobei einige Varianten zusätzliche Verschlüsselungsebenen einsetzen, um die Erkennung weiter zu umgehen.