Mit Schadsoftware, die über immer mehr Funktionen verfügt, versuchen Kriminelle, an Daten von Nutzern zu gelangen, um sich auf deren Kosten zu bereichern. Und das nicht nur bei Webseiten. Experten des italienischen Sicherheitsdienstleisters Cleafy sind auf einen neuen Android-Trojaner gestoßen, der sich als App tarnt. Das als DroidBot bezeichnete Schadprogramm, das allem Anschein nach von türkischen Entwicklern stammt und erstmals im Juni erkannt wurde, wurde mittlerweile in Frankreich, Großbritannien, Italien, Portugal und Spanien aufgespürt. Auch die im Code enthaltenen Informationen stehen auf Englisch, Italienisch, Spanisch und Türkisch zur Verfügung.
Aufgrund der sprachlichen Nähe vermuten die Sicherheitsexperten außerdem, dass der sogenannte Android Remote Access Trojaner bereits seinen Weg nach Südamerika gefunden hat. Den bisherigen Analysen zufolge wurde DroidBot für Angriffe auf Ziele in insgesamt 77 Bereichen entwickelt. Dazu zählen neben Regierungsorganisationen und Behörden auch Banken und Börsen für Kryptowährungen.
Schadsoftware als Service
Zudem wird DroidBot allem Anschein nach als eine MaaS-Infrastruktur (Malware-as-a-Service) angeboten. Die Entwickler sind dabei nicht die, die die Attacken ausführen, sie stellen Infrastruktur vielmehr anderen bereit. Dafür verlangen sie demnach von ihren Kunden eine monatliche Gebühr von 3.000 Dollar. Dabei handelt es sich dem Vernehmen nach um ein Novum. Vergleichbare Schadsoftware wurde dem Vernehmen nach bisher ausschließlich von den Erstellern selbst genutzt und nicht anderen als Service angeboten.
Trojaner überwacht Bildschirm und Eingaben
Um den DroidBot-Schädling möglichst breit zu verteilen, setzen die Ersteller des Dienstes auf eine fast schon klassische Methode. Sie erfolgt in Form einer Overlay-Attacke über gefälschte Webseiten, auf denen die Schad-App als allgemeine Sicherheitsanwendung, Google-Dienst oder auch als beliebte Banking-App angeboten wird.
Heruntergeladen entpuppt sich die App zunächst als eine Überwachungssoftware, die im Hintergrund den Bildschirm des Nutzers ausspioniert. Standardmäßig werden Screenshots angefertigt und an den Angreifer versendet, dieser kann aber auch direkt auf den Bildschirm des Opfers zugreifen. Daneben werden auch die SMS überwacht, etwa um im Rahmen einer 2-Faktor-Authentifizierung an TANs zu gelangen. Ein ebenso eingebauter Keylogger sorgt dafür, dass auch die Eingaben von Passwörtern aufgezeichnet werden können.
DroidBot noch nicht fertig
Um den Kontakt zu den einzelnen Bots zu halten, zeigen sich die DroidBot-Entwickler ebenfalls kreativ und setzen auf eine Command-to-Control-Architektur (C2). Das Schadprogramm wird mithilfe von HTTPS in Gang gesetzt, der Bot dagegen sendet die erlangten Informationen auf der Basis des MQTT-Protokolls (Message Queuing Telemetry Transport) zurück. Dieses Verfahren wird üblicherweise im Echtzeit-Messaging sowie bei Apps im Bereich von IoT genutzt und bietet den Vorteil, dass infizierte Geräte direkt mit dem Übermitteln von Daten beginnen können.
Und die Entwicklung von DroidBot scheint noch nicht abgeschlossen, wie die Sicherheitsexperten von Cleafy erkennen mussten. So war die Adresse des MQTT-Brokers, an den die einzelnen Bots ihre gewonnenen Daten senden, anfänglich unverschlüsselt. Das wurde zwischenzeitlich geändert. Bei einer Reihe von geplanten Funktionen, etwa einem Rootchecker, finden sich noch Platzhalter. Für Besitzer von Handys mit Android als Betriebssystem ist das keine gute Nachricht. Offenbar nimmt die Bedrohung weiterhin zu. Und aufgrund des „Geschäftsmodells“ sind Angriffe nur schwer vorherzusehen.