Trojaner Rotexy: eine Mischung aus Banker und Blocker

22 Nov 2018

Kürzlich hat die mobile Malware Rotexy, eine Mischung aus einem Banking-Trojaner und einem Ransomware-Blocker, ihre Tentakel ausgestreckt. In den Monaten August und September registrierten unsere Experten mehr als 40.000 Versuche, diese schädliche App auf Android-Smartphones zu schleusen. Da wir bereits einige technische Details über die jüngste Bestie auf Securelist veröffentlicht haben, möchten wir in diesem Beitrag die Infektionsquellen genauer untersuchen und Ihnen erklären, wie die Malware mit nur einigen wenigen SMS kostenlos wieder entfernt werden kann.

So funktioniert der Banking-Trojaner Rotexy

Rotexy verbreitet sich über SMS-Nachrichten, die den Link zu einem App-Download enthalten, der von einem verlockenden Text begleitet wird, in dem die Nutzer dazu aufgefordert werden, den Link zu öffnen und eine App herunterzuladen. In manchen Fällen stammen diese Nachrichten von der Handynummer eines Freundes oder guten Bekannten; und aus genau diesem Grund klicken zahlreiche Nutzer auf die schädlichen Links, ohne Verdacht zu schöpfen.

Nachdem der Trojaner ein Gerät erst einmal infiziert hat, beschäftigt er sich akribisch mit der Vorbereitung seines Arbeitsplatzes für weitere Maßnahmen. Zunächst prüft Rotexy, auf welchem Gerät er gelandet ist. Das tut er, um die Arbeit möglicher Antivirus-Forscher zu behindern: Wenn die Malware nämlich feststellt, dass sie anstatt auf einem echten Smartphone in einem Emulator ausgeführt wird, beginnt sie mit einem endlosen Durchlauf des Initialisierungsprozesses der App. In der aktuellen Version von Rotexy scheint dasselbe zu passieren, wenn sich das infizierte Gerät außerhalb russischer Grenzen befindet.

Erst wenn sichergestellt ist, dass das Gerät diese grundlegenden Anforderungen erfüllt, beginnt der Trojaner zu handeln. Zunächst durch das Anfordern von Administratorrechten. Theoretisch kann der Benutzer die Zusage verweigern, die Anfrage wird jedoch weiterhin angezeigt, was die Verwendung des Smartphones zusätzlich erschwert. Sobald Rotexy das erreicht, was sie möchte, meldet die Malware, dass die App nicht geladen werden konnte, und versteckt ihr Symbol.

Danach nimmt die Malware Kontakt zu ihren Besitzern auf und lässt ihnen die notwendigen Informationen über das Gerät zukommen. Diese antworten ihr wiederum mit Anweisungen und einer Reihe von Vorlagen und Texten. Standardmäßig kommuniziert Rotexy direkt mit dem C&C-Server, dennoch haben ihre Entwickler auch andere Möglichkeiten implementiert, um Aufträge auch per Google Cloud Messaging und SMS zu senden.

SMS-Dieb Rotexy

Von SMS-Nachrichten kann Rotexy nicht genug bekommen. Sobald eine Nachricht auf einem infizierten Gerät eingeht, wechselt die Malware das Smartphone in den Ruhemodus, damit das Opfer keine der neu eingehenden SMS-Nachrichten bemerkt. Der Trojaner fängt die Nachricht ab, vergleicht sie mit den vom C&C-Server erhaltenen Vorlagen, und speichert und leitet sie an den Server weiter, wenn die Nachricht Informationen nach seinem Geschmack enthält (z. B. die letzten Ziffern einer Kreditkartennummer in einer SMS-Benachrichtigung). Darüber hinaus kann die Malware im Namen des Smartphonebesitzers auf derartige Nachrichten antworten; denn in ihren bereitgestellten Vorlagen befinden sich für den Notfall auch bereits präparierte Antworttextbausteine.

Wenn aus irgendeinem Grund keine Vorlagen oder spezielle Anweisungen vom C&C-Server erhalten wurden, speichert Rotexy die gesamte Korrespondenz des infizierten Smartphones und leitet sie an ihre Lehrmeister weiter.

Darüber hinaus kann die Malware auf Befehl der Cyberkriminellen einen Download-Link an alle Kontakte im Telefonbuch verschicken. Hierbei handelt es sich um einen der Hauptverbreitungsfaktoren des Rotexy-Trojaners.

Der Banking-Trojaner Rotexy

Die Manipulation von SMS-Nachrichten ist allerdings nicht das einzige und auch nicht das wichtigste Ass im Ärmel der Malware. Denn im Wesentlichen geht es den Entwicklern darum, schnell viel Geld zu machen, und das funktioniert am besten durch den Diebstahl von Bankkartendaten. Dazu überlagert der Trojaner den Bildschirm des Opfers mit einer Phishing-Seite. Das Aussehen der Seite kann variieren, aber der allgemeine Zweck besteht darin, dem Smartphone-Besitzer mitzuteilen, dass eine Geldüberweisung auf ihn wartet, die er nur mit der Eingabe seiner Kartendaten erhalten kann.

Um auf Nummer sicher zu gehen, haben die Malware-Entwickler eine Funktion integriert, um die Authentizität der Kartennummer zu überprüfen. Zunächst wird überprüft, ob die Kartennummer korrekt ist (die Ziffern einer Kartennummer werden nicht zufällig gewählt, sondern nach Befolgung bestimmter Regeln erstellt). Im Anschluss extrahiert Rotexy die letzten vier Ziffern der Kartennummer aus der abgefangenen Banking-SMS und vergleicht sie mit denen, die auf der Phishing-Seite eingegeben wurden. Sollte an dieser Stelle etwas nicht stimmen, antwortet die Malware mit einer Fehlermeldung und fordert den Benutzer zur Eingabe der korrekten Kartennummer auf.

Ransomware Rotexy

In einigen Fällen empfängt Rotexy andere Anweisungen vom C&C-Server und durchspielt ein völlig anderes Szenario. Statt der Anzeige einer Phishing-Seite, blockiert Rotexy den Smartphone-Bildschirm mit einer Gefahr signalisierenden Nachricht, die eine Geldstrafe für das „regelmäßige Anschauen verbotener Videos“ fordert.

Rotexy immitiert die Update-Installation und blockiert danach den Smartphone-Bildschirm mit einer Bußgeldforderung für das „regelmäßige Anschauen verbotener Videos“

Fotografische „Beweise“ sind in Form eines Bildes eines pornografischen Clips beigefügt. Wie es häufig bei mobiler Ransomware der Fall ist, geben Cyberkriminelle vor, von irgendeinem amtlichen Organ zu stammen. Rotexy erwähnt beispielsweise die Einheit „FSB Internet Control“ (in Russland existiert diese Einheit übrigens nicht).

So entsperren Sie ein mit dem Rotexy-Trojaner infiziertes Smartphone

Es gibt aber auch gute Nachrichten! Denn es ist möglich, ein infiziertes Smartphone zu entsperren und den „Virus“ ohne die Hilfe eines Experten zu beseitigen. Wie oben erwähnt, kann Rotexy Befehle per SMS empfangen. Das Tolle daran ist, dass diese Nachrichten nicht von einer bestimmten Nummer stammen müssen. Wenn Ihr Smartphone also blockiert wurde und Sie das bösartige Fenster nicht schließen können, benötigen Sie lediglich ein anderes Smartphone (z. B. das eines Freundes oder Verwandten) und diese kinderleichte Anweisung:

  • Senden Sie eine SMS-Nachricht mit dem Inhalt „393838“ an Ihre Handynummer. Die Malware interpretiert diese Nachricht als Anweisung, die Adresse des C&C-Servers zu leeren und kann so den Cyberkriminellen nicht mehr gehorchen.
  • Schicken Sie dann eine Nachricht mit dem Inhalt „3458“ an Ihre Nummer – auf diese Weise entziehen Sie dem Trojaner jegliche Administratorenrechte.
  • Und zu guter Letzt: senden Sie eine SMS mit der Nachricht „stop blocker“. Dieser Befehl fordert Rotexy dazu auf, den Banner oder die Seite zu entfernen, die Ihren Bildschirm blockiert.
  • Sollte Sie der Trojaner danach erneut mit der Bitte um Administratorrechte belästigen, starten Sie das Gerät im abgesicherten Modus neu (hier die Anleitung). Gehen Sie zu Anwendungsmanager oder Anwendungen und Benachrichtigungen (je nach Android-Version können die Einstellungen variieren) und entfernen Sie die Malware endgültig von Ihrem Gerät. Das wars!

Bitte beachten Sie, dass diese Anweisungen auf einer Analyse der aktuellen Version von Rotexy basieren. Weitere technische Details zum Trojaner finden Sie in unserem Bericht auf Securelist.

So schützen Sie sich vor Rotexy und anderen mobilen Trojanern

Zum Abschluss möchten wir erwähnen, dass es deutlich weniger zeit- und nervenaufreiben ist, wenn Sie die Malware einfach daran hindern, überhaupt auf Ihr Smartphone zu gelangen. Das Vermeiden einer Infektion ist nicht schwierig. Sie müssen lediglich ein paar einfache Regeln befolgen: