BLOG

Finanz-Malware und ihre Tricks: Mobile Malware

Shahnawaz Backer-Vorschaubild
Shahnawaz Backer
Veröffentlicht am 25. August 2016

Modernes Banking mit Mobile

Mobilgeräte werden für digitale Benutzer immer beliebter und haben auch Auswirkungen auf den Finanzsektor. Die neue Generation braucht mobilfreundliches Banking. Den Erkenntnissen der US-Notenbank zufolge liegt die Nutzung des mobilen Bankings in der Altersgruppe der 18- bis 29-Jährigen bei 67 %. Der Hauptgrund für die Ablehnung mobiler Bankgeschäfte war die Sicherheit. Da Mobilität eine unaufhaltsame Kraft darstellt, müssen Unternehmen diesen Risikovektor verstehen, um sich angemessen auf Bedrohungen vorzubereiten und diese einzudämmen. Dieser Artikel befasst sich mit einigen der bemerkenswertesten (und am häufigsten ausgenutzten) Schwachstellen im mobilen Bereich.

Was ist mobile Malware?

Wie bei jeder Schadsoftware handelt es sich auch bei mobiler Schadsoftware um einen Code, der geschrieben wurde, um ein Smartphone oder ein ähnliches Gerät anzugreifen. Die Geschichte mobiler Schadsoftware reicht mindestens bis ins Jahr 2000 zurück, als Forscher die erste bekannte mobile Schadsoftware „ TIMOFONICA “ entdeckten. Im Jahr 2016 kursierte in freier Wildbahn Malware wie „ Godless “, die bis zu 90 % der Android-Geräte rooten kann.

Ein kurzer Blick auf die Analysen des Kaspersky-Labors zeigt, dass die Zahl der Mobile-Banking-Trojaner steigt. Im Jahr 2015 wurden etwa 56.194 Benutzer mindestens einmal von mobilen Banking-Trojanern angegriffen.

 

Typen: Spyware und Adware, Trojaner und Viren, Phishing-Apps usw.

Derzeit im Umlauf befindliche Schadsoftware kann als Spyware/Adware, Trojaner und Viren, Phishing-Apps oder Bot-Prozesse klassifiziert werden. Ihre einzige Absicht besteht darin, wertvolle persönliche Informationen abzugreifen und zu exfiltrieren.

  • Es ist bekannt, dass als legitime App getarnte Spyware und Adware Benutzer- und Geräteinformationen sammelt, die für zukünftige Angriffe verwendet werden können.
  • Trojaner kapern Geräte und versenden nicht autorisierte Premium-SMS. Die weiter verbreiteten Schadprogramme können sich auf Benutzerbildschirmen neu darstellen und als legitime Applications agieren, um vertrauliche Information wie Bankdaten und Out-of-Band-Einmalkennwörter zu stehlen.
  • Phishing Applications nutzen betrügerische oder umgestaltete Applications , um dem Benutzer schädliche Inhalte zu übermitteln.

Gängige Schwachstellen und Tricks, die von mobiler Malware ausgenutzt werden

Mobile Geräte unterstützen mehrere Plattformen wie iOS, Android, Windows usw. Da iOS und Android den Markt dominieren, wollen wir einen Blick auf die relevanten Schwachstellen werfen, die ausgenutzt werden:

  • Gerootete oder gejailbreakte Geräte : Durch das Rooten/Jailbreaken eines Telefons erhalten Sie Root-Zugriff auf das mobile Betriebssystem. Dadurch haben Benutzer zwar die Möglichkeit, das Standardverhalten des Geräts zu ändern, es entsteht jedoch auch ein extremes Risiko für die Applications , da durch diesen Vorgang das Sicherheitsmodell des Geräts verletzt wird. Ein gerootetes/gejailbreaktes Gerät bietet Malware und betrügerischen Application eine perfekte Angriffsfläche, um Daten zu infizieren und abzugreifen.
  • Man-in-the-Middle-Angriffe: Bei diesem Angriffsvektor wird ein Dritter genutzt, der sich zwischen die Geräte- und Serverkommunikation schaltet, die Nutzlast ausspäht und verändert. Bei mobilen Geräten werden die Angriffsvektoren verstärkt, da die Menschen dazu neigen, sich mit kostenlosen WLAN-Zonen in Hotels, Cafés und anderen öffentlichen Orten zu verbinden.
Foto: www.jscape.com

 

  • Veraltetes Betriebssystem: Dieses Syndrom betrifft Android-Benutzer häufiger als iOS-Benutzer. Es gibt eine starke Fragmentierung bei den Versionen von Android-Geräten. Auf einigen Geräten läuft möglicherweise noch eine alte Version mit bekannten Schwachstellen und bietet damit einen idealen Boden für einen Schadsoftwareangriff.
  • SMS Grabber: Moderne adaptive Authentifizierungstechniken nutzen eine Out-of-Band-Authentifizierung und SMS scheint eine der häufigsten Schwachstellen zu sein. Mobile Malware, die ein Android-Gerät befällt, kann ein an das Gerät gesendetes Einmalkennwort stehlen. Ab der Android-Version 4.3 konnte die Schadsoftware verhindern, dass SMS im Posteingang angezeigt wurden, sodass der Angriff völlig lautlos ablief. In der neueren Android-Version kann Malware nicht verhindern, dass SMS im Posteingang erscheinen und Benutzer über die unerwartete SMS informieren.
  • Fokus stehlen: Beim Activity Hijacking oder Mobile Phishing wird eine Sicherheitslücke in Android ausgenutzt, indem anstelle der erwarteten Aktivität eine bösartige Aktivität gestartet wird. Durch eine ähnlich aussehende Anzeige wird ein Benutzer dazu verleitet, der Schadsoftware seine Anmeldeinformationen preiszugeben. Dieser Angriffsvektor wird häufig von Finanz-Malware ausgenutzt. Der Angriffsvektor betrifft Android-Versionen unter 5 und in späteren Versionen hat Google die Angriffsvektoren abgeschwächt.

    •  

    Foto: Screenshot der SVPeng-Malware

     

  • Neu verpackte Applications: Malware-Autoren verschaffen sich Zugriff auf legitime Applications , verpacken diese mit einer böswillige Nutzdaten neu und führen Spam-Kampagnen durch. In manchen Fällen laden sie die Application sogar zur Massenverteilung in den Playstore/Appstore hoch. Laut einer von Arxan Technologies durchgeführten Studie wurden 80 % der beliebten Android-Apps und 75 % der iOS-Apps gehackt:

    •  

    Foto: Arxan Technologien
    • Nicht-Jailbreak-iOS-Malware: Neue Varianten von Schadsoftware (Beispiel: Es wurden Malware-Programme (z. B. YiSpecter) entdeckt, die iOS infizieren und private APIs missbrauchen können.
    • Und viele mehr ... Malware-Autoren erfinden ständig neue Techniken, um mobile Geräte zu kompromittieren.

    Die Betrugsschutz von F5 ist die Antwort

    Der Betrugsschutz bietet Unternehmen präventive und aufdeckende Ansätze zur Risikominderung für moderne mobile Applications. Zum Bewerten der Sicherheitsintegrität des Geräts werden verschiedene Techniken eingesetzt. Diese Informationen werden der Application zur Verfügung gestellt und mit der Risiko-Engine eines Unternehmens geteilt, um Bedrohungen einzudämmen und zu beheben. Zu den wichtigsten Funktionen, die bei der Überwindung dieser Bedrohungen helfen, gehören:

    • Erkennung von Zertifikatsfälschungen: Durch die Überprüfung des Zertifikats können Sie Man-In-The-Middle-Angriffe verhindern. Die Funktion prüft die Gültigkeit des Zertifikats anhand der gespeicherten Informationen.

    • DNS-Spoofing-Erkennung: Schützt vor Man-In-The-Middle-Angriffen, indem Servernamen aufgelöst und mit gespeicherten Informationen verglichen werden.

    • Jailbreak/Rooting-Erkennung: Erkennt kompromittierte Geräte, indem es nach Root-Berechtigungen sucht.

    • Malware-Erkennung: Sucht nach Hinweisen auf eine Kompromittierung und führt eine Verhaltensanalyse durch, um auf dem Gerät installierte Schadsoftware zu finden.

    • Erkennung ungepatchter/unsicherer Betriebssysteme: SDK kann die Android-Version/iOS-Version berechnen und die Informationen einer Application bereitstellen.

    • Erkennung von Fokusdiebstahl: Mit dieser Funktion kann die Application erkennen, ob eine betrügerische Application den Fokus von der geschützten Application gestohlen hat. MobileSafe generiert ein Broadcast-Ereignis für die Application , um auf diese Bedrohung zu reagieren.

    • Erkennung von Umverpackungen: Bei Android-Apps prüft die Lösung die Signatur, um ihre Authentizität sicherzustellen. Bei iOS umfasst die Prüfung auf Neuverpackung die Berechnung und Validierung von MD5-Hashes.

    Einrichten der Umgebung

    Die Lösung kann eingerichtet werden, indem F5 MobileSafe in einer vorhandenen WebSafe-Umgebung aktiviert wird.

     

     

  • Erstellen/konfigurieren Sie ein Betrugsschutz Solution-Profil mit mobilorientierten Voreinstellungen:

    •  

     

    Sobald das Profil erstellt ist, stehen Warnmeldungen auf dem Warnmeldungsserver zur Verfügung, wenn ein Benutzer auf die mobilen URLs zugreift.
    • Sobald das Profil erstellt ist, stehen Benachrichtigungen auf dem Benachrichtigungsserver zur Verfügung, wenn ein Nutzer auf die mobilen URLs zugreift. 

    Abschluss

    Mobilgeräte bieten den Benutzern bequemen und einfachen Zugriff auf Onlinedienste und sorgen so für eine massive Nutzung. Aufgrund des begrenzten Verständnisses der Sicherheit in diesem Bereich versuchen Hacker, neue Angriffsmethoden optimal zu nutzen. Die Betrugsschutz Solution von F5 bietet Unternehmen Einblick in die mobilen Endpunkte und schützt vor modernen und ausgeklügelten Bedrohungen.

    Ressourcen