28. September 2023

Banking-Trojaner Zanubis tarnt sich als legitime App

Kaspersky-Experten haben eine neue Kampagne des Banking-Trojaners ,Zanubis‘ aufgedeckt [1], der sich als legitime Apps ausgeben kann. Derzeit tarnt er sich als offizielle App der peruanischen Regierungsorganisation SUNAT, um die Kontrolle über angegriffene Geräte zu erlangen. Weiterhin wurden zwei Schadprogramme entdeckt, die es explizit auf Krypto-Wallets abgesehen haben: die kürzlich aufgetauchte Malware ,AsymCrypt‘ und der sich stetig weiterentwickelnde Stealer ,Lumma‘.

Der Android-Banking-Trojaner Zanubis trat im August 2022 zum ersten Mal in Erscheinung und zielte anfänglich auf Nutzer von Finanz- und Krypto-Apps in Peru ab. Er gab sich als legitime Android-App aus, um Anwender dazu zu verleiten, Zugriffsberechtigungen zu erteilen. Im April dieses Jahres gingen die Hintermänner der Malware einen Schritt weiter und tarnten Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Der Trojaner wird mit Hilfe von Obfuscapk – einem beliebten Obfuskator für Android APK-Dateien – verschleiert. Sobald er die Erlaubnis für den Gerätezugriff erhält, lädt er mithilfe von WebViewer eine legitime SUNAT-Website und führt somit das Opfer damit in die Irre.

Zur Kommunikation mit dem Server verwendet Zanubis WebSockets und die Bibliothek Socket.IO. Dadurch kann der Trojaner sich individuell an die vorherrschenden Gegebenheiten anpassen und die Verbindung selbst bei auftretenden technischen Problemen aufrechterhalten. Zanubis verfügt nicht über eine feste Liste von Apps, auf die er abzielt, sondern kann durch entsprechende Remote-Programmierung Daten bei Ausführung bestimmter Apps stehlen. Darüber hinaus stellt der Trojaner eine zweite Verbindung her, wodurch Cyberkriminelle die volle Kontrolle über ein bestimmtes Gerät erlangen können, und ist – getarnt als Android-Update – in der Lage, es komplett zu deaktivieren.

AsymCrypt und Lumma: Krypto-Wallets im Visier

Eine weitere Entdeckung der Kaspersky-Experten ist Cryptor und Loader AsymCrypt, der auf Krypto-Wallets abzielt und in Darknet-Foren verkauft wird. Dabei handelt es sich um eine weiterentwickelte Version des DoubleFinger-Loader [2], der vorgibt, zu einem TOR-Netzwerkdienst zu führen. Die Käufer von AsymCrypt können Injektionsmethoden, Zielprozesse, Startpersistenz und Stub-Typen für schädliche DLLs individuell anpassen, wodurch sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken lässt. Bei der Ausführung wird das Bild entschlüsselt und die Payload im Speicher aktiviert.

Zudem stießen die Experten von Kaspersky auf den Lumma-Stealer, einer sich sukzessiv weiterentwickelnden Malware-Familie. Ursprünglich unter dem Namen Arkei bekannt, hat Lumma 46 Prozent seiner früheren Eigenschaften beibehalten. Als .docx-zu.pdf-Konverter getarnt, löst der Stealer, sobald hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe zurückkommen, die schädliche Payload aus. Die Hauptfunktionalität aller Varianten hat sich jedoch im Laufe der Zeit nicht verändert: der Diebstahl zwischengespeicherter Dateien, Konfigurationsdateien und Protokollen von Krypto-Wallets. Der Lumma-Stealer gibt sich dafür als Browser-Plugin aus, unterstützt aber auch die eigenständige Binance-App. Die Entwicklung von Lumma umfasst die Übernahme von Systemprozesslisten, die Änderung von Kommunikations-URLs und die Optimierung von Verschlüsselungstechniken.

„Cyberkriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Kryptowährungen vor und geben sich sogar als staatliche Institutionen aus“, kommentiert Tatyana Shishkova, leitende Sicherheitsforscherin im Global Research and Analysis Team (GReAT) bei Kaspersky. „Die sich ständig weiterentwickelnde Malware-Landschaft, wie der facettenreiche Lumma-Stealer und Zanubis als vollwertiger Banking-Trojaner zeigen, machen die dynamische Entwicklung solcher Bedrohungen deutlich. Sicherheitsteams stehen permanent vor der Herausforderung, sich an ständig verändernde schädliche Codes und cyberkriminelle Taktiken anzupassen. Um sich vor solchen Gefahren zu schützen, müssen Unternehmen wachsam und gut informiert bleiben. Threat Intelligence spielt eine entscheidende Rolle, wenn es darum geht, sich über die neuesten schädlichen Tools und Techniken von Angreifern auf dem Laufenden zu halten. Sie ermöglichen es Unternehmen, den Cyberkriminellen im ständigen Kampf für digitale Sicherheit einen Schritt voraus zu sein.“

Kaspersky-Empfehlungen zum Schutz vor Bedrohungen

Offline-Backups erstellen, die von Eindringlingen nicht manipuliert werden können. Dabei muss sichergestellt sein, dass im Notfall ein schneller Datenzugriff möglich ist.
Einen Ransomware-Schutz für alle Endgeräte implementieren, etwa das kostenlose Kaspersky Anti-Ransomware Tool for Business [3], das Computer und Server vor Ransomware und anderen Arten von Malware schützt, Exploits verhindert und mit bereits installierten Sicherheitslösungen kompatibel ist.
Sicherheitslösungen wie Kaspersky Endpoint Security for Business [4] mit Anwendungs- und Webkontrolle nutzen. Sie minimiert die Wahrscheinlichkeit, dass Krypto-Miner unrechtmäßig gestartet werden. Die integrierte Verhaltensanalyse-Funktion hilft darüber hinaus schädliche Aktivitäten schnell zu erkennen und der Schwachstellen- und Patch-Manager schützt vor Krypto-Minern, die Sicherheitslücken ausnutzen.

Weitere Informationen zu den neuesten Entdeckungen von Kaspersky unter https://securelist.com/crimeware-report-asmcrypt-loader-lumma-stealer-zanubis-banker/110512/

[1] https://securelist.com/crimeware-report-asmcrypt-loader-lumma-stealer-zanubis-banker/110512/

[2] https://securelist.com/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/109982/

[3] https://www.kaspersky.com/anti-ransomware-tool

[4] https://www.kaspersky.de/enterprise-security/endpoint