Android-Malware BrazKing kehrt zurück

Stefan Beiersmann,
Malware (Bild: Shutterstock/Blue Island)

Eine neue Version des Trojaners verbreitet sich derzeit über Phishing-SMS. Nutzer müssen dem Download aus einer unbekannten Quellen zustimmen und die Berechtigung für die Bedienungshilfen erteilen.

Forscher von IBM haben eine neue Variante des Banking-Trojaners BrazKing entdeckt, der Android-Geräte ins Visier nimmt. Die Verteilung des Schädlings erfolgt demnach derzeit außerhalb des Google Play Store. Wie BleepingComputer berichtet, nutzen die Hintermänner gefälschte SMS-Nachrichten, um Nutzer zur Installation einer schädlichen App zu verleiten.

Die SMS-Nachrichten enthalten demnach einen Link, über den eine HTTPS-Website aufgerufen wird. Sie warnt Nutzer vor einer angeblich veralteten Android-Version auf ihrem Gerät und fordert sie auf, eine APK-Datei herunterzuladen und zu installieren. Statt des versprochenen Updates für das Mobilbetriebssystem erhalten Nutzer jedoch Schadsoftware.

Ohne Interaktion mit einem Nutzer ist eine Infektion mit BrazKing jedoch nicht möglich. Opfer müssen dem Download aus einer unbekannten Quelle und anschließend auch noch dem Zugriff auf die Bedienungshilfen zustimmen. Die Berechtigung erlaubt es dem Trojaner dem Bericht zufolge, Screenshots zu erstellen und Tastatureingaben auszuspähen, ohne das weitere Berechtigungen angefordert werden müssen.

Über die Bedienungshilfen werden auch die eigentlichen Trojaner-Funktionen umgesetzt. So ist BrazKing in der Lage, Eingaben in einer Banking-App vorzunehmen und auch SMS-Nachrichten zu lesen – sprich per SMS verschickte Codes für eine Anmeldung in zwei Schritten. Außerdem liest Brazking das Adressbuch aus.

Darüber hinaus stellten die IBM-Forscher laut BleepingComputer fest, dass BrazKing mit Android 11 eingeführte Sicherheitsfunktion umgeht. Sie sollen eigentlich einen Missbrauch der Bedienungshilfen verhindern. Statt ein Overlay zum Abgreifen von Anmeldedaten mit der Berechtigung “System_Alert_Window” zu erzeugen, startet BrazKing nun ein Webview-Fenster über die Bedienungshilfen, das die eigentliche Banking-App verbirgt und die Eingaben abfängt.

Der Trojaner benutzt die Bedienungshilfen aber auch, um seine Löschung zu verhindern. Versucht ein Nutzer beispielsweise die schädliche App zu deinstallieren, “tippt” sie sofort auch die Schaltflächen “zurück” oder “Home”, um die Aktion abzubrechen. Selbiges passiert, wenn der Trojaner den Aufruf einer Antiviren-App erkennt.