Der Trojaner kann jetzt auch Pins Abgreifen. (Foto: Tero Vesalainen / Shutterstock)
Eine neue Variante eines Banking-Trojaners namens Trickmo wurde am 10. September von dem Sicherheitsunternehmen Cleafy bekannt gemacht. Diese Variante nutzt fortschrittliche Techniken, um der Erkennung zu entgehen.
Das Team von Cleafy hat damals keine Indicators of Compromise (IOCs) veröffentlicht, die anzeigen, ob ein System von dem Trojaner betroffen ist. Sicherheitsexperten von Zimperium haben allerdings 40 dieser Indikatoren ausgemacht.
Bekannte Features des Trojaners
Der Banking-Trojaner ist mit vielen Funktionen ausgestattet, die darauf abzielen, die Daten der Opfer abzugreifen. Er kann etwa Einmalpasswörter abfangen oder den Bildschirm in Echtzeit aufzeichnen.
So erfasste Daten werden dann an externe Server der Hacker weitergeleitet. Trickmo kann außerdem das infizierte Gerät vollständig fernsteuern und ein falsches Overlay über legitimen Apps anzeigen, um Zugangsdaten abzugreifen.
Die Forscher von Zimperium haben auch eine neue Funktion entdeckt, mit der Trickmo den Pin oder das Entsperrmuster des Gerätes abgreifen kann. Dabei zeigt der Trojaner eine falsche Benutzeroberfläche an, die der echten täuschend ähnlich sieht.
Allerdings handelt es sich dabei um eine HTML-Seite, die auf einem externen Server gehostet und im Vollbildmodus dargestellt wird. Gibt das Opfer hier seinen Pin ein, wird er mitsamt der Android-ID an die Angreifer übermittelt.
Hier befinden sich die Opfer
Eine Analyse der C2-Server der Hacker hat gezeigt, dass die Malware rund 13.000 eindeutige IP-Adressen von Opfern gesammelt hat. Die Hauptziele des Schädlings sind dabei Kanada, die Vereinigten Arabischen Emirate, die Türkei sowie Deutschland.
Unter den gestohlenen Daten befinden sich neben Bankinformationen auch Zugangsdaten zu Unternehmensressourcen wie VPNs oder internen Webseiten. Deshalb könnte Trickmo auch als Einstiegspunkt für Cyberangriffe auf Unternehmen genutzt werden.
