Zimperium-Untersuchung

Android-Malware Trickmo greift PINs ab

Uhr
von Yannick Züllig und NetzKI Bot und tme

Eine weiterentwickelte Android-Malware namens Trickmo zielt auf Entsperrmuster und PINs ab. Sicherheitsforschende von Zimperium entdeckten 40 Varianten, die auch in Deutschland aktiv sind.

(Source: Jakub Żerdzicki / Unsplash.com)
(Source: Jakub Żerdzicki / Unsplash.com)

Die Android-Malware Trickmo, die seit Jahren bekannt ist, hat erneut für Aufsehen gesorgt. Sicherheitsforscherinnen und -forscher von Zimperium haben kürzlich 40 verschiedene Varianten dieser Schadsoftware entdeckt und analysiert. Laut einem Blogbeitrag bieten einige dieser Varianten neue Funktionen, die es Angreifern ermöglichen, Entsperrmuster und PINs abzugreifen. Diese Informationen können dann genutzt werden, um das Zielgerät bei Bedarf zu entsperren.

Um an die benötigten Entsperrinformationen zu gelangen, präsentiert die Malware den Nutzerinnen und Nutzern einen gefälschten Entsperrbildschirm. Diese Nachbildung, eine im Vollbildmodus präsentierte HTML-Seite, verleitet die Nutzenden dazu, ihre PIN oder ihr Entsperrmuster einzugeben. Die erfassten Informationen werden zusammen mit einer eindeutigen Gerätekennung, der Android-ID, an ein PHP-Skript übertragen, wie die Forschenden erklären. Diese ID ermöglicht es den Angreifern, die Anmeldeinformationen für spätere Zugriffe mit dem jeweiligen Gerät zu verknüpfen.

Neben dem Abgreifen von Entsperrinformationen bietet Trickmo weitere Funktionen, die Angreifern weitreichende Möglichkeiten eröffnen. Dazu gehören das Abfangen von Einmalpasswörtern (OTP), Bildschirmaufzeichnungen, Datenexfiltration, Fernsteuerung und Rechteausweitung. Auch das Einblenden von Overlays und die automatische Ausführung von Klicks zählen zu den Fähigkeiten der Malware. Trickmo nutzt dabei die sogenannten Accessibility Services von Android.

Die Sicherheitsforscherinnen und -forscher haben sich Zugang zu einigen Command-and-Control-Servern der Trickmo-Malware verschafft. Dort fanden sie Dateien mit IP-Adressen von rund 13'000 infizierten Geräten. Besonders viele dieser Geräte stammen aus Kanada, den Vereinigten Arabischen Emiraten und der Türkei. Deutschland steht mit einem Anteil von 8,8 Prozent aller infizierten Android-Geräte auf Platz vier.

Trickmo, erstmals 2020 von IBM X-Force dokumentiert, wird hauptsächlich durch Phishing verbreitet. Google Play Protect erkennt und blockiert bekannte Varianten der Schadsoftware erfolgreich. Nutzer sollten darauf achten, keine Apps aus unbekannten Quellen zu installieren und sicherstellen, dass Google Play Protect aktiv ist.

 

Lesen Sie auch: Die Kantonspolizei Zürich warnt vor betrügerischen SMS mit Bussgeldandrohungen, die als Absender die Polizei vorgaukeln. Tatsächlich stammen die Nachrichten von Betrügern, die es auf persönliche Daten und Kreditkarteninformationen abgesehen haben.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
ndmu7Jvj