Toddler: Banking-Malware für Android verbreitet sich in Europa

Der Sicherheitsanbieter Prodaft Threat Intelligence (PTI) hat einen Banking-Trojaner für Android analysiert, der sich derzeit in mehreren europäischen Ländern verbreitet, darunter die Niederlande, Spanien, die Schweiz und Deutschland. Die als Toddler oder auch TeaBot/Anatsa bezeichnete Malware wurde erstmals im Januar von der Cybersicherheitsfirma Cleafy entdeckt. Seitdem haben die Hintermänner die Schadsoftware kontinuierlich weiterentwickelt.

Inzwischen wird der mobile Trojaner für Angriffe auf Kunden von rund 60 europäischen Banken eingesetzt. Die meisten Opfer befinden sich derzeit in Spanien, die Daten einen von den Sicherheitsforschern infiltrierten Befehlsservers ergab. In dem südeuropäischen Land wurden demnach mindestens 7632 mobile Geräte infiziert. Die Forscher fanden aber auch mehr als 1000 gestohlene Anmeldedaten für Bankzugänge.

In den Google Play Store schafften es die Hintermänner von Toddler allerdings noch nicht. Dafür ist es ihnen gelungen, zahlreiche legitime Websites zu kompromittieren und darüber die Schadsoftware zu verbreiten.

Zwar sei Toddler für Angriffe auf Dutzende Banken in Europa optimiert, alle bisher nachgewiesenen Infektionen sollen lediglich Kunden von 18 unterschiedlichen Geldinstituten betreffen. Fast 90 Prozent der Angriffe entfallen den Forschern zufolge sogar auf nur fünf Geldinstitute. Sie nehmen an, dass eine erfolgreiche SMS-basierte Phishing-Kampagne für diese Konzentration verantwortlich ist.

Toddler wird von PTI als eine in vielerlei Hinsicht gewöhnliche Trojaner-Software beschrieben. Sie ist in der Lage, Daten zu stehlen, einschließlich Bankdaten, Tastatureingaben zu erfassen, Screenshots zu erstellen, Codes für die Zwei-Faktor-Authentifizierung (2FA) abzufangen, SMS abzufangen und sich mit einem Befehlsserver zu verbinden, um Informationen zu übertragen, Befehle anzunehmen und das infizierte Gerät mit einem Botnet zu verbinden.

Per Overlay blendet der Trojaner gefälschte Anmeldebildschirme ein, um Kunden zur Eingabe ihrer Bankdaten zu verleiten. Er überwacht zudem alle installierten Apps, um einen Overlay-Angriff zu starten, sobald eine der unterstützten Banking-Apps gestartet wird.

Ungewöhnlich sind offenbar auch die Maßnahmen, die Toddler ergreift, um sich dauerhaft auf einem Gerät einzurichten. Vor allem versucht die Malware, mithilfe der Bedienhilfen einen Neustart des Geräts zu verhindern. Sie soll zudem in der Lage sein, ein Gerät davon abzuhalten, im Sicheren Modus zu starten – der hält Android davon ab, nachträglich installierte Apps zu laden. “Toddler setzt einen neuen Maßstab für die Implementierung von Persistenzmodulen”, sagten die Forscher. “Die Entfernung der Malware vom Gerät erfordert ein enormes technisches Know-how, und es sieht so aus, als würde der Prozess in Zukunft nicht einfacher werden.”