Android-Malware Trickmo greift PINs ab
Eine weiterentwickelte Android-Malware namens Trickmo zielt auf Entsperrmuster und PINs ab. Sicherheitsforschende von Zimperium entdeckten 40 Varianten, die auch in Deutschland aktiv sind.
Die Android-Malware Trickmo, die seit Jahren bekannt ist, hat erneut für Aufsehen gesorgt. Sicherheitsforscherinnen und -forscher von Zimperium haben kürzlich 40 verschiedene Varianten dieser Schadsoftware entdeckt und analysiert. Laut einem Blogbeitrag bieten einige dieser Varianten neue Funktionen, die es Angreifern ermöglichen, Entsperrmuster und PINs abzugreifen. Diese Informationen können dann genutzt werden, um das Zielgerät bei Bedarf zu entsperren.
Um an die benötigten Entsperrinformationen zu gelangen, präsentiert die Malware den Nutzerinnen und Nutzern einen gefälschten Entsperrbildschirm. Diese Nachbildung, eine im Vollbildmodus präsentierte HTML-Seite, verleitet die Nutzenden dazu, ihre PIN oder ihr Entsperrmuster einzugeben. Die erfassten Informationen werden zusammen mit einer eindeutigen Gerätekennung, der Android-ID, an ein PHP-Skript übertragen, wie die Forschenden erklären. Diese ID ermöglicht es den Angreifern, die Anmeldeinformationen für spätere Zugriffe mit dem jeweiligen Gerät zu verknüpfen.
Neben dem Abgreifen von Entsperrinformationen bietet Trickmo weitere Funktionen, die Angreifern weitreichende Möglichkeiten eröffnen. Dazu gehören das Abfangen von Einmalpasswörtern (OTP), Bildschirmaufzeichnungen, Datenexfiltration, Fernsteuerung und Rechteausweitung. Auch das Einblenden von Overlays und die automatische Ausführung von Klicks zählen zu den Fähigkeiten der Malware. Trickmo nutzt dabei die sogenannten Accessibility Services von Android.
Die Sicherheitsforscherinnen und -forscher haben sich Zugang zu einigen Command-and-Control-Servern der Trickmo-Malware verschafft. Dort fanden sie Dateien mit IP-Adressen von rund 13'000 infizierten Geräten. Besonders viele dieser Geräte stammen aus Kanada, den Vereinigten Arabischen Emiraten und der Türkei. Deutschland steht mit einem Anteil von 8,8 Prozent aller infizierten Android-Geräte auf Platz vier.
Trickmo, erstmals 2020 von IBM X-Force dokumentiert, wird hauptsächlich durch Phishing verbreitet. Google Play Protect erkennt und blockiert bekannte Varianten der Schadsoftware erfolgreich. Nutzer sollten darauf achten, keine Apps aus unbekannten Quellen zu installieren und sicherstellen, dass Google Play Protect aktiv ist.
Lesen Sie auch: Die Kantonspolizei Zürich warnt vor betrügerischen SMS mit Bussgeldandrohungen, die als Absender die Polizei vorgaukeln. Tatsächlich stammen die Nachrichten von Betrügern, die es auf persönliche Daten und Kreditkarteninformationen abgesehen haben.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Manche Sterne sind absolut gigantisch
Wikipedia sperrt Artikel schreibenden KI-Agenten
Update: Bund definiert mobiles Sicherheitskommunikationssystem als Schlüsselprojekt
Appenzell Innerrhoden gibt sensible Daten an Medien weiter
Ist dies das echte Leben oder doch nur Fantasie?
Swisscom und Gritec partnern für cybersichere Industrieunternehmen
Schwachstelle in ChatGPT ermöglicht Zugriff auf sensible Daten
Wie KMUs mit MDR ihre Cybersecurity stärken
Anthropic veröffentlicht versehentlich Quellcode seines KI-Entwicklertools
