Schutz vor der BankBot Android Banking-Malware mit RASP
Anfang dieses Monats stieß das niederländische Unternehmen Securify auf eine neues Beispiel für die BankBot Android Mobile Banking Malware . Während ältere Stichproben von BankBot hauptsächlich russische Finanzinstitute betrafen, zeigt die jüngste Stichprobe, dass BankBot nun auch europäische und amerikanische Banken anspricht. Insbesondere zielt BankBot jetzt auf über 420 führende Banken in Ländern wie Deutschland, Frankreich, Österreich, den Niederlanden, der Türkei und den USA ab.
Die VASCO-Analysten für Bedrohungsforschung, Ludovic Joly und Ernesto Corral, wollten verstehen, wie BankBot Mobile-Banking-Apps angreift, und überprüfen, ob die RASP-Technologie (Runtime Application Self-Protection) von VASCO Mobile-Banking-Apps vor BankBot schützt.
Wie stiehlt BankBot Ihre Anmeldeinformationen?
BankBot ist ein Banking-Trojaner, der sich als scheinbar harmlose Anwendung wie WhatsApp oder Runtastic ausgibt. Wenn die Anwendung installiert und ausgeführt wird, werden Administratorrechte abgefragt. Sobald diese Berechtigungen erteilt wurden, verschwindet das Symbol vom Startbildschirm. Von diesem Moment an ist das Gerät kompromittiert.
BankBot versucht anschließend, Ihre Bankdaten (z. B. Benutzername und PIN) und Kreditkarteninformationen mit einer bekannten Technik zu stehlen Overlay . Dies bedeutet, dass die Malware ein Fenster erstellt, das das Erscheinungsbild der Ziel-Mobile-Banking-App nachahmt und Benutzer dazu verleitet, ihre Anmeldeinformationen einzugeben. Dieses Überlagerungsfenster wird beim Starten durch den Benutzer über der Ziel-App positioniert. Da das Overlay-Fenster so erstellt wird, dass es genau wie die Ziel-App aussieht, glauben Benutzer normalerweise, dass sie mit der echten Mobile-Banking-App interagieren.
Abbildung 1: Beispiele für von BankBot verwendete Overlays (Quelle: Securify)
Der BankBot-Prozess zum Erstellen und Anzeigen eines Overlays ist wie folgt. Zunächst erhält BankBot die Liste der Prozesse, die auf dem Gerät ausgeführt werden. Die Kommentare im Code wurden von unserem Bedrohungsanalysten Ernesto Corral hinzugefügt, um das Lesen zu vereinfachen.
Als nächstes erhält BankBot die tatsächlichen Namen der laufenden Prozesse mit dem folgenden Befehl:
Anschließend vergleicht BankBot diese Namen mit einer Liste von Namen von Mobile-Banking-Apps, auf die es abzielt. Einige Beispiele für Apps, auf die BankBot derzeit abzielt, sind:
Wenn der Name eines laufenden Prozesses mit einem Namen in der Zielliste übereinstimmt, erstellt BankBot schließlich ein Overlay und positioniert es über der Ziel-App.
Das Overlay selbst besteht aus einer benutzerdefinierten WebView, einer Android-Komponente, mit der eine Webseite in einer App angezeigt werden kann:
Der BankBot-Trojaner lädt den Inhalt für WebView im laufenden Betrieb vom C2-Server herunter und zeigt ihn in einer WebView-Komponente seiner App an.
Schutz vor Überlagerungsangriffen von BankBot
Um Mobile-Banking-Apps vor Overlay-Angriffen zu schützen, empfehlen wir, sie mit zwei Techniken zu schützen, nämlich der Runtime Application Self-Protection (RASP) -Technologie und der Zwei-Faktor-Authentifizierungsfunktion.
RASP, ein Begriff, der von Gartner geprägt wurde, schützt mobile Apps vor Eingriffen auf Anwendungsebene wie Overlay-Angriffen. RASP-Lösungen stören den Prozess des Banking-Trojaners beim Erstellen und Anzeigen von Overlays. Es ist wichtig, dass Finanzinstitute eine RASP-Lösung wählen, die bietet generisch Overlay-Schutz. Dies bedeutet, dass die RASP-Lösung keinen Schutz gegen bestimmte Malware-Beispiele (z. B. das neueste BankBot-Beispiel) bieten sollte, sondern gegen mehrere Malware-Familien wie BankBot, svpeng und Demonstrant . Laut Kasperskys Bericht ist Marcher eine der aktivsten Banking-Malware-Familien des Jahres 2016 Finanzielle Cyberthreats im Jahr 2016 . Gute RASP-Lösungen können generisch sein, da unsere Analyse gezeigt hat, dass viele Malware-Familien ähnliche Techniken verwenden, um Überlagerungen zu erstellen.
Die Zwei-Faktor-Authentifizierungstechnologie stellt andererseits sicher, dass Bankdaten, die durch einen Overlay-Angriff gestohlen wurden, für einen Betrüger von geringem Wert sind. Auf diese Weise geschützte Apps verwenden zwei verschiedene Authentifizierungselemente: etwas, das der Benutzer kennt (z. B. die PIN), aber auch etwas, das der Benutzer hat (dh einen auf dem mobilen Gerät gespeicherten kryptografischen Schlüssel, der zum Generieren von Einmalkennwörtern verwendet wird). Während Overlay-Angriffe verwendet werden können, um auf den Wissensfaktor abzuzielen, können sie den Besitzfaktor nicht angreifen, um den kryptografischen Schlüssel zu stehlen.
Schlussfolgerungen
Unsere Threat Research Labs haben die Funktionsweise von Malware wie BankBot und Marcher analysiert. Daraus haben wir gelernt, dass viele Android Mobile Banking-Malware-Familien einen ähnlichen Ansatz verwenden, um Overlay-Fenster zu erstellen. Nach dem Testen in unserem Labor können wir sagen, dass unsere RASPEL Die Technologie bietet Schutz vor mehreren Malware-Familien, die diesen Ansatz verwenden. Darüber hinaus ist die Zwei-Faktor-Authentifizierungsfunktion von DIGIPASS für Apps stellt sicher, dass auch erfolgreiche Overlay-Angriffe abgewehrt werden können.
