{"id":18140,"date":"2018-11-22T18:31:19","date_gmt":"2018-11-22T16:31:19","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18140"},"modified":"2019-11-22T12:13:21","modified_gmt":"2019-11-22T10:13:21","slug":"rotexy-banker-blocker","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rotexy-banker-blocker\/18140\/","title":{"rendered":"Trojaner Rotexy: eine Mischung aus Banker und Blocker"},"content":{"rendered":"

K\u00fcrzlich hat die mobile Malware Rotexy, eine Mischung aus einem Banking-Trojaner und einem Ransomware-Blocker<\/a>, ihre Tentakel ausgestreckt. In den Monaten August und September registrierten unsere Experten mehr als 40.000 Versuche, diese sch\u00e4dliche App auf Android-Smartphones zu schleusen. Da wir bereits einige technische Details \u00fcber die j\u00fcngste Bestie auf Securelist ver\u00f6ffentlicht<\/a> haben, m\u00f6chten wir in diesem Beitrag die Infektionsquellen genauer untersuchen und Ihnen erkl\u00e4ren, wie die Malware mit nur einigen wenigen SMS kostenlos wieder entfernt werden kann.<\/p>\n

So funktioniert der Banking-Trojaner Rotexy<\/h2>\n

Rotexy verbreitet sich \u00fcber SMS-Nachrichten, die den Link zu einem App-Download enthalten, der von einem verlockenden Text begleitet wird, in dem die Nutzer dazu aufgefordert werden, den Link zu \u00f6ffnen und eine App herunterzuladen. In manchen F\u00e4llen stammen diese Nachrichten von der Handynummer eines Freundes oder guten Bekannten; und aus genau diesem Grund klicken zahlreiche Nutzer auf die sch\u00e4dlichen Links, ohne Verdacht zu sch\u00f6pfen.<\/p>\n

Nachdem der Trojaner ein Ger\u00e4t erst einmal infiziert hat, besch\u00e4ftigt er sich akribisch mit der Vorbereitung seines Arbeitsplatzes f\u00fcr weitere Ma\u00dfnahmen. Zun\u00e4chst pr\u00fcft Rotexy, auf welchem Ger\u00e4t er gelandet ist. Das tut er, um die Arbeit m\u00f6glicher Antivirus-Forscher zu behindern: Wenn die Malware n\u00e4mlich feststellt, dass sie anstatt auf einem echten Smartphone in einem Emulator ausgef\u00fchrt wird, beginnt sie mit einem endlosen Durchlauf des Initialisierungsprozesses der App. In der aktuellen Version von Rotexy scheint dasselbe zu passieren, wenn sich das infizierte Ger\u00e4t au\u00dferhalb russischer Grenzen befindet.<\/p>\n

Erst wenn sichergestellt ist, dass das Ger\u00e4t diese grundlegenden Anforderungen erf\u00fcllt, beginnt der Trojaner zu handeln. Zun\u00e4chst durch das Anfordern von Administratorrechten<\/a>. Theoretisch kann der Benutzer die Zusage verweigern, die Anfrage wird jedoch weiterhin angezeigt, was die Verwendung des Smartphones zus\u00e4tzlich erschwert. Sobald Rotexy das erreicht, was sie m\u00f6chte, meldet die Malware, dass die App nicht geladen werden konnte, und versteckt ihr Symbol.<\/p>\n

Danach nimmt die Malware Kontakt zu ihren Besitzern auf und l\u00e4sst ihnen die notwendigen Informationen \u00fcber das Ger\u00e4t zukommen. Diese antworten ihr wiederum mit Anweisungen und einer Reihe von Vorlagen und Texten. Standardm\u00e4\u00dfig kommuniziert Rotexy direkt mit dem C&C-Server, dennoch haben ihre Entwickler auch andere M\u00f6glichkeiten implementiert, um Auftr\u00e4ge auch per Google Cloud Messaging und SMS zu senden.<\/p>\n

SMS-Dieb Rotexy<\/h3>\n

Von SMS-Nachrichten kann Rotexy nicht genug bekommen. Sobald eine Nachricht auf einem infizierten Ger\u00e4t eingeht, wechselt die Malware das Smartphone in den Ruhemodus, damit das Opfer keine der neu eingehenden SMS-Nachrichten bemerkt. Der Trojaner f\u00e4ngt die Nachricht ab, vergleicht sie mit den vom C&C-Server erhaltenen Vorlagen, und speichert und leitet sie an den Server weiter, wenn die Nachricht Informationen nach seinem Geschmack enth\u00e4lt (z. B. die letzten Ziffern einer Kreditkartennummer in einer SMS-Benachrichtigung). Dar\u00fcber hinaus kann die Malware im Namen des Smartphonebesitzers auf derartige Nachrichten antworten; denn in ihren bereitgestellten Vorlagen befinden sich f\u00fcr den Notfall auch bereits pr\u00e4parierte Antworttextbausteine.<\/p>\n

Wenn aus irgendeinem Grund keine Vorlagen oder spezielle Anweisungen vom C&C-Server erhalten wurden, speichert Rotexy die gesamte Korrespondenz des infizierten Smartphones und leitet sie an ihre Lehrmeister weiter.<\/p>\n

Dar\u00fcber hinaus kann die Malware auf Befehl der Cyberkriminellen einen Download-Link an alle Kontakte im Telefonbuch verschicken. Hierbei handelt es sich um einen der Hauptverbreitungsfaktoren des Rotexy-Trojaners.<\/p>\n

Der Banking-Trojaner Rotexy<\/h3>\n

Die Manipulation von SMS-Nachrichten ist allerdings nicht das einzige und auch nicht das wichtigste Ass im \u00c4rmel der Malware. Denn im Wesentlichen geht es den Entwicklern darum, schnell viel Geld zu machen, und das funktioniert am besten durch den Diebstahl von Bankkartendaten. Dazu \u00fcberlagert der Trojaner den Bildschirm des Opfers mit einer Phishing-Seite. Das Aussehen der Seite kann variieren, aber der allgemeine Zweck besteht darin, dem Smartphone-Besitzer mitzuteilen, dass eine Geld\u00fcberweisung auf ihn wartet, die er nur mit der Eingabe seiner Kartendaten erhalten kann.<\/p>\n

Um auf Nummer sicher zu gehen, haben die Malware-Entwickler eine Funktion integriert, um die Authentizit\u00e4t der Kartennummer zu \u00fcberpr\u00fcfen. Zun\u00e4chst wird \u00fcberpr\u00fcft, ob die Kartennummer korrekt ist (die Ziffern einer Kartennummer werden nicht zuf\u00e4llig gew\u00e4hlt, sondern nach Befolgung bestimmter Regeln erstellt). Im Anschluss extrahiert Rotexy die letzten vier Ziffern der Kartennummer aus der abgefangenen Banking-SMS und vergleicht sie mit denen, die auf der Phishing-Seite eingegeben wurden. Sollte an dieser Stelle etwas nicht stimmen, antwortet die Malware mit einer Fehlermeldung und fordert den Benutzer zur Eingabe der korrekten Kartennummer auf.<\/p>\n

Ransomware Rotexy<\/h3>\n

In einigen F\u00e4llen empf\u00e4ngt Rotexy andere Anweisungen vom C&C-Server und durchspielt ein v\u00f6llig anderes Szenario. Statt der Anzeige einer Phishing-Seite, blockiert Rotexy den Smartphone-Bildschirm mit einer Gefahr signalisierenden Nachricht, die eine Geldstrafe f\u00fcr das \u201eregelm\u00e4\u00dfige Anschauen verbotener Videos\u201c fordert.<\/p>\n

\"\"<\/p>\n

Rotexy immitiert die Update-Installation und blockiert danach den Smartphone-Bildschirm mit einer Bu\u00dfgeldforderung f\u00fcr das \u201eregelm\u00e4\u00dfige Anschauen verbotener Videos\u201c<\/p>\n

Fotografische \u201eBeweise\u201c sind in Form eines Bildes eines pornografischen Clips beigef\u00fcgt. Wie es h\u00e4ufig bei mobiler Ransomware der Fall ist, geben Cyberkriminelle vor, von irgendeinem amtlichen Organ zu stammen. Rotexy erw\u00e4hnt beispielsweise die Einheit \u201eFSB Internet Control\u201c (in Russland existiert diese Einheit \u00fcbrigens nicht).<\/p>\n

So entsperren Sie ein mit dem Rotexy-Trojaner infiziertes Smartphone<\/h2>\n

Es gibt aber auch gute Nachrichten! Denn es ist m\u00f6glich, ein infiziertes Smartphone zu entsperren und den \u201eVirus\u201c ohne die Hilfe eines Experten zu beseitigen. Wie oben erw\u00e4hnt, kann Rotexy Befehle per SMS empfangen. Das Tolle daran ist, dass diese Nachrichten nicht von einer bestimmten Nummer stammen m\u00fcssen. Wenn Ihr Smartphone also blockiert wurde und Sie das b\u00f6sartige Fenster nicht schlie\u00dfen k\u00f6nnen, ben\u00f6tigen Sie lediglich ein anderes Smartphone (z. B. das eines Freundes oder Verwandten) und diese kinderleichte Anweisung:<\/p>\n