Android-Malware

Xbot ist Phishing-Trojaner und Ransomware in einem

| Redakteur: Stephan Augsten

Xbot phisht eigentlich Bankdaten und mTAN-SMS ab, kann aber auch Dateien auf der externen SD-Karte verschlüsseln.
Xbot phisht eigentlich Bankdaten und mTAN-SMS ab, kann aber auch Dateien auf der externen SD-Karte verschlüsseln. (Bild: Palo Alto Networks)

Ein Trojaner namens „Xbot“ treibt im Android-Umfeld sein Unwesen. Der Schadcode ist in Phishing-Aktivitäten involviert, kann im Stile einer Ransomware aber offenbar auch Dateien verschlüsseln und Geräte aus der Ferne sperren.

Android-Geräte sind aktuell einer Malware-Kampagne ausgesetzt, bei der ein Trojaner namens „Xbot“ verbreitet wird. 22 Android Apps sind laut Unit 24, der Forschungsabteilung von Palo Alto Networks, mit dem Schadcode infiziert. Momentan befinde sich der Trojaner noch in der Entwicklungsphase, der Schadcode werde regelmäßig aktualisiert.

Xbot versucht, mittels Phishing an die Bankdaten und Kreditkarteninformationen der adressierten Opfer zu gelangen. Hierfür leitet die Malware sein Opfer auf eine Pishing-Seite um, die sowohl die Zahlungsschnittstelle von Google Play als auch die Login-Seiten von sieben verschiedenen Banken imitiert. Außerdem kann Xbot mTAN-SMS-Nachrichten für abfangen.

Nach den Erkenntnissen der Unit 42 kann der Trojaner aber auch dazu dienen, Android-Geräte aus der Ferne zu sperren. Somit agiert Xbot bei Befarf auch als Ransomware, die Benutzerdateien im externen Speicher, also beispielsweise auf der Micro-SD-Karte, verschlüsseln kann. Die erpresserischen Entwickler fordern dann 100 US-Dollar Lösegeld, die per PayPal zu entrichten sind.

Unit 42, das Malware-Analyse-Team von Palo Alto Networks, ist der Ansicht, dass Xbot ein Nachfolger des Android-Trojaners Aulrin ist, der erstmals im Jahr 2014 entdeckt wurde. So weist Aulrin sehr ähnliche Codestrukturen und Verhaltensweisen auf und einige Ressourcendateien in Aulrin sind auch in Samples von Xbot enthalten.

Der Hauptunterschied zwischen ihnen ist, dass Xbot zur Implementierung seiner Verhaltensweisen JavaScript durch Mozillas Rhino-Framework nutzt, während Aulrin auf Lua und das .NET Framework zurückgreift. Die flexible Architektur von Xbot erlaubt offenbar einfache Erweiterungen, z.B. um künftig weitere Android-Apps anzugreifen.

Das früheste Sample von Xbot, das Unit 42 gefunden hat, ist laut Palo Alto Networks im Mai 2015 erstellt worden. Mittlerweile sei der Code aber komplexer, die neuesten Versionen von Xbot verwendteen sogar Dexguard. Dieses Entwickler-Tool soll eigentlich legitime Android Apps vor Reverse Engineering oder Manipulation schützen.

Mehrere Anzeichen deuten auf die Herkunft des Schadcodes hin: Eine frühere, gefälschte Benachrichtigung fürs Google-Play-Phishing, Kommentare im JavaScript-Code und die identifizierten Ziel-Domains deuten allesamt auf russische Entwickler hin. Während neuere Versionen Englisch für Benachrichtigungen verwenden, wurde die Sprache an anderer Stelle nicht geändert.

Eine ausführliche, englischsprachige Analyse der des Xbot-Trojaners findet sich auf der Webseite von Palo Alto Networks. Kunden des Security-Anbieters sind durch verschiedene Dienste geschützt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43886873 / Malware)