{"id":28447,"date":"2022-04-13T15:37:14","date_gmt":"2022-04-13T13:37:14","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28447"},"modified":"2022-04-19T13:34:34","modified_gmt":"2022-04-19T11:34:34","slug":"fakecalls-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fakecalls-banking-trojan\/28447\/","title":{"rendered":"Fakecalls: Der sprechende Trojaner"},"content":{"rendered":"

Cyberkriminelle entwickeln immer raffiniertere Malware. Im vergangenen Jahr tauchte beispielsweise ein ungew\u00f6hnlicher Banking-Trojaner namens Fakecalls<\/em> auf. Neben den \u00fcblichen Spionagefunktionen besitzt dieser Trojaner die interessante F\u00e4higkeit, mit seinem Opfer in der Gestalt eines Bankangestellten zu \u201etelefonieren\u201c. Online lassen sich nur wenige Informationen \u00fcber Fakecalls<\/em> finden. Deshalb m\u00f6chten wir in diesem Beitrag ein wenig Licht ins Dunkel bringen und seine F\u00e4higkeiten genauer betrachten.<\/p>\n

Getarnter Trojaner<\/h2>\n

Fakecalls imitiert die mobilen Apps beliebter koreanischer Banken, darunter KB (Kookmin Bank) und KakaoBank. Kurioserweise haben die Entwickler des Trojaners neben den \u00fcblichen Logos auch die Support-Nummern der jeweiligen Banken in die Fakecalls-Benutzeroberfl\u00e4che integriert. Die Telefonnummern scheinen authentisch zu sein \u2013 so ist die Nummer 1599-3333 beispielsweise auf der Hauptseite der offiziellen Website der KakaoBank zu finden.<\/p>\n

\"Der<\/a>

Der Trojaner imitiert die Banking-Apps der Banken KB (links) und KakaoBank (rechts)<\/p><\/div>\n

Bereits bei der Installation fordert der Trojaner eine ganze Reihe von Berechtigungen an, darunter Zugriff auf Kontakte, Mikrofon und Kamera, Geolokalisierung, Anrufabwicklung und so weiter.<\/p>\n

Anruf der Bank<\/h2>\n

Anders als andere Banking-Trojaner ist Fakecalls<\/em> dazu in der Lage Telefongespr\u00e4che mit dem Kundensupport zu imitieren. Ruft ein Opfer die Hotline der Bank an, unterbricht der Trojaner diskret die Verbindung und \u00f6ffnet anstelle der regul\u00e4ren Anruf-App einen eigenen gefakten Anruf-Bildschirm. Dem Opfer erscheint der Anruf v\u00f6llig normal und ahnt nicht, dass die Kontrolle ab jetzt in H\u00e4nden der Angreifer liegt.<\/p>\n

Einzig und allein der gef\u00e4lschte Anrufbildschirm k\u00f6nnte den Trojaner jetzt verraten. Denn die Benutzeroberfl\u00e4che von Fakecalls<\/em> wird lediglich auf Koreanisch angezeigt. Hat ein Opfer also eine andere Systemsprache gew\u00e4hlt \u2013 beispielsweise Englisch \u2013 wird der Nutzer hoffentlich skeptisch.<\/p>\n

\"Der<\/a>

Der authentische Anrufbildschirm (links) und die Fakecalls-Benutzeroberfl\u00e4che (rechts)<\/p><\/div>\n

Nachdem der Anruf abgefangen wurde, gibt es zwei m\u00f6gliche Szenarien. Im ersten Fall verbindet Fakecalls das Opfer direkt mit den Cyberkriminellen, da die App bei der Installation die Berechtigung erhalten hat, ausgehende Anrufe zu t\u00e4tigen. Im zweiten Fall spielt der Trojaner vorab aufgezeichnete Audiodateien ab, die die Standardbegr\u00fc\u00dfung der Bank imitieren.<\/p>\n

\"Fakecalls<\/a>

Fakecalls Code-Fragment, dass vorab aufgezeichnete Audiodateien w\u00e4hrend eines ausgehenden Anrufs abspielt<\/p><\/div>\n

Damit der Trojaner eine realistische Unterhaltung mit dem Opfer f\u00fchren kann, haben die Cyberkriminellen mehrere Floskeln (auf Koreanisch) aufgezeichnet, die typischerweise von Callcenter-Mitarbeitern oder der bankeigenen Bandansage ge\u00e4u\u00dfert werden. Dem Opfer kommen dabei beispielsweise folgende S\u00e4tze zu Ohren: \u201eHallo. Vielen Dank f\u00fcr Ihren Anruf bei der KakaoBank. Unser Callcenter erh\u00e4lt derzeit ungew\u00f6hnlich viele Anrufe. Ein Berater steht in k\u00fcrzester Zeit f\u00fcr Sie zur Verf\u00fcgung. <\u2026> Um die Servicequalit\u00e4t zu verbessern, wird Ihr Gespr\u00e4ch aufgezeichnet.\u201c Oder: \u201eWillkommen bei der Kookmin Bank. Dieses Gespr\u00e4ch wird aufgezeichnet. Wir werden Sie jetzt mit einem unserer Mitarbeiter verbinden.\u201c<\/p>\n

Danach k\u00f6nnen die Angreifer unter dem Deckmantel eines Bankangestellten versuchen, dem Opfer Zahlungsdaten oder andere vertrauliche Informationen zu entlocken.<\/p>\n

Neben ausgehenden Anrufen kann Fakecalls<\/em> \u00fcbrigens auch eingehende Anrufe f\u00e4lschen. Haben die Cyberkriminellen die Absicht das Opfer pers\u00f6nlich zu kontaktieren, \u00fcberlagert der Trojaner den Systembildschirm mit seiner eigenen Benutzeroberfl\u00e4che. Das hat zur Folge, dass dem Nutzer nicht die authentische Telefonnummer der Cyberkriminellen angezeigt wird, sondern eine vom Trojaner beliebig gew\u00e4hlte Rufnummer: beispielsweise die Support-Telefonnummer der Bank.<\/p>\n

Spyware-Toolkit<\/h2>\n

Neben den oben genannten Eigenschaften hat Fakecalls<\/em> auch Funktionen, die eher f\u00fcr Banking-Trojaner typisch sind. Beispielsweise kann die Malware auf Befehl des Angreifers das Mikrofon des infizierten Telefons einschalten und Aufzeichnungen davon an ihren Server senden sowie heimlich Audio- und Videoaufnahmen vom Telefon in Echtzeit \u00fcbertragen.<\/p>\n

Und damit nicht genug: Denken Sie an die Berechtigungen, die der Trojaner bei der Installation einfordert! Die Cyberkriminellen k\u00f6nnen diese nutzen, um den Standort des Smartphones zu bestimmen, die Kontaktliste oder Dateien (darunter Fotos & Videos) auf den eigenen Server zu \u00fcbertragen und auf den Anruf- und Nachrichtenverlauf zugreifen.<\/p>\n

Diese Berechtigungen erm\u00f6glichen der Malware nicht nur, den Nutzer auszuspionieren, sondern auch sein Ger\u00e4t bis zu einem gewissen Grad zu kontrollieren, was dem Trojaner die M\u00f6glichkeit gibt, eingehende Anrufe zu unterbinden und sie aus dem Verlauf zu l\u00f6schen. Somit k\u00f6nnen unter anderem authentische Anrufe der jeweiligen Bank blockiert und verborgen werden.<\/p>\n

Kaspersky-L\u00f6sungen identifizieren diese Malware \u00fcbrigens als Trojan-Banker.AndroidOS.Fakecalls<\/em> und sch\u00fctzen das Ger\u00e4t.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Befolgen Sie diese einfachen Tipps, um zu verhindern, dass Ihre pers\u00f6nlichen Daten und Ihr Geld in die H\u00e4nde von Cyberkriminellen gelangen:<\/p>\n