Malware gibt es im Android-Universum fast seit der Einführung des Betriebssystems. Die Tatsache, dass es sich um ein offenes System handelt und mittlerweile von Millionen von Menschen genutzt wird, macht es zum Ziel vieler Hacker. Trojan.Droidpak Es handelt sich um eine der neuesten Schadsoftware, die öffentlich aufgetaucht ist. Sie kommt durch Windowsund ist in der Lage, unsere Banking-Apps.
Und genau das ist das Erschreckendste: Die App ist darauf ausgerichtet, Bankanwendungen abzufangen. Es handelt sich nicht um eine App, die uns einfach dazu verleitet, Geld auszugeben, indem sie SMS-Nachrichten an Premiumnummern sendet, die wir nicht autorisiert haben. Das Geld, von dem die Hacker später profitieren, wird dann an sie gesendet. Sobald die Malware aktiviert ist, Banking-Apps findenund ersetzt sie durch Apps, die von ihnen gesteuert werden, mit dem Ziel, Kontrolle über unsere eigenen Konten von der Bank.
Um es zu aktivieren, müssen Sie nur eine Anwendung ausführen, die Sie auf Ihrem Smartphone haben, und das heißt Google App Store. Diese App ist natürlich nicht der Original-App-Store, da das Original Google Play Store, aber da es einen sehr ähnlichen Namen hat und dasselbe Logo verwendet, können Benutzer es zu einem bestimmten Zeitpunkt leicht verwechseln und ausführen.
Darüber hinaus ist die Anwendung nicht nur in der Lage, in unsere Bankanwendungen einzugreifen, sondern auch in die SMS-App, um die Warnmeldungen unserer Bank zu blockieren. Glücklicherweise sind derzeit koreanische Benutzer und koreanische Banken im Visier, obwohl das System durchaus auch im Rest der Welt zum Einsatz kommen könnte, was Vorsicht erfordert.
Offenbar handelt Trojan.Droidpak und installiert die Anwendung auf unserem Smartphone durch Windows und das System ADB um unser Android-Telefon zu verwalten, solange wir die Option aktiviert haben USB-DebuggingWenn wir unser Mobiltelefon mit unserem Computer verbinden müssen, empfiehlt es sich daher, immer die aktiven Prozesse anzuzeigen, um alle unbekannten Prozesse zu finden, die möglicherweise die App auf unserem Smartphone installieren, die später die Kontrolle darüber übernimmt.
So funktioniert die Infektion: Windows als Brücke zu Android
Sicherheitsforscher beschreiben einen klaren Ablauf: Der Windows-Trojaner Laden Sie eine DLL herunter und registrieren Sie sie als Systemdienst, dann Laden Sie eine Konfigurationsdatei herunter Fernbedienung (zum Beispiel iconfig.txt) und verwendet es, um eine Bösartige APK das hält in %Windir%\CrainingApkConfig\AV-cdk.apk. Um die App auf das Handy zu übertragen, Android Debug Bridge (ADB) herunterladen oder wiederverwenden und führt Installationsbefehle auf jedem über USB angeschlossenen Android-Gerät aus.
Die Installation ist versucht es immer wieder um die Erfolgswahrscheinlichkeit bei der Telefonverbindung zu erhöhen und erfordert als wesentliche Voraussetzung, dass das Gerät aktiviert ist "USB-Debugging". In einigen Fällen nutzt die Windows-Komponente Autorun und erzeugt Artefakte wie %System%\flashmx32.xtl, zusätzlich zur Registrierung als Dienst in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashmx.
Was es auf Android macht: Banking, Spoofing und SMS
Nach der Installation wird die bösartige APK – eine Variante von Android.Fakebank.B— tarnt sich als Google App Store um Vertrauen zu gewinnen. Es scannt das Gerät nach Online-Banking-Apps bestimmter koreanischer Institutionen und fordert den Benutzer auf, diese zu deinstallieren und durch trojanisierte Versionen. auch fängt SMS ab (einschließlich Einmalcodes) und können diese an Befehls- und Kontrollserver weiterleiten, sogar erreichen sende die Telefonnummer Vorrichtung.
- Erreichte Ziele:
nh.smart,com.shinhan.sbanking,com.webcash.wooribank,com.ATsolution.KBbank,com.hanabank.ebk.channel.android.hananbank.
So schützen Sie sich und reduzieren Risiken
- USB-Debugging deaktivieren bei Nichtgebrauch; nur gelegentlich aktivieren.
- Vermeiden Sie die Verbindung Ihr Mobiltelefon an öffentliche oder nicht vertrauenswürdige PCs.
- Sicherheit installieren von anerkannten Anbietern auf Android und Windows.
- Neuesten Stand zu halten System, Treiber, Browser und Antivirus.
- In Windows Autorun deaktivieren für USB und Wechseldatenträger.
- Auf Android, nicht akzeptieren Deinstallieren/Ersetzen Ihrer Banking-App außerhalb von Google Play.
Empfohlene Erkennung und Reinigung
Die Unternehmen sind sich einig, dass es keine Bedrohung darstellt massiv oder schwer zu entfernen mit Standard-Antimalware-Scans unter Windows. Wenn Sie eine Infektion vermuten: Trennen Sie Ihr Telefon, analysiert den PC, entfernt unbekannte Dienste (z. B. Einträge ähnlich wie ...\Services\flashmx) und entfernen Sie ungewöhnliche Artefakte. Deinstallieren Sie unter Android alle gefälschter "Google App Store", installieren Sie Ihre Banking-Apps neu von Google Play y SMS-Berechtigungen prüfenEin Scan mit einer zuverlässigen mobilen Suite hilft sicherzustellen, dass keine Rückstände zurückbleiben.
Die Besonderheit von Trojan.Droidpak ist, dass den PC als Sprungbrett nutzen mobile Geräte zu erreichen; obwohl ein Schwerpunkt im koreanischen Bankwesen zu beobachten ist, könnte die Technik auch auf andere Ziele übertragen werden. Mit bewährten Verfahren und geschützter Ausrüstung verliert dieser Vektor viel von seiner Wirksamkeit.
