Zanubis: Banking-Trojaner tarnt sich laut Kaspersky-Warnung als legitime App

Kaspersky deckt neue Bedrohungen gegen Krypto-Wallets auf

[datensicherheit.de, 28.09.2023] Kaspersky-Experten haben nach eigenen Angaben eine neue Kampagne des Banking-Trojaners „Zanubis“ aufgedeckt, welcher sich demnach als legitime Apps ausgeben kann. Derzeit tarne er sich als offizielle App der peruanischen Regierungsorganisation SUNAT, um die Kontrolle über angegriffene Geräte zu erlangen. Weiterhin seien zwei Schadprogramme entdeckt worden, welche es explizit auf Krypto-Wallets abgesehen hätten – die kürzlich aufgetauchte Malware ,AsymCrypt‘ und der sich stetig weiterentwickelnde Stealer ,Lumma‘.

Zanubis trat nach Kaspersky-Erkenntnissen erstmalig im August 2022 in Erscheinung

Der „Android“-Banking-Trojaner „Zanubis“ trat laut Kaspersky-Erkenntnissen zum ersten Mal im August 2022 in Erscheinung und zielte anfänglich auf Nutzer von Finanz- und Krypto-Apps in Peru ab. „Er gab sich als legitime ,Android’-App aus, um Anwender dazu zu verleiten, Zugriffsberechtigungen zu erteilen. Im April dieses Jahres gingen die Hintermänner der Malware einen Schritt weiter und tarnten Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria).“ Dieser Trojaner werde mit Hilfe von „Obfuscapk“ – einem beliebten Obfuskator für „Android“-APK-Dateien – verschleiert. „Sobald er die Erlaubnis für den Gerätezugriff erhält, lädt er mithilfe von ,WebViewer’ eine legitime SUNAT-Website und führt somit das Opfer damit in die Irre.“

Zur Kommunikation mit dem Server verwendet „Zanubis“ „WebSockets“ und die Bibliothek „Socket.IO“. Dadurch könne dieser Trojaner sich individuell an die vorherrschenden Gegebenheiten anpassen und die Verbindung selbst bei auftretenden technischen Problemen aufrechterhalten. „Zanubis“ verfüge nicht über eine feste Liste von Ziel-Apps, sondern könne durch entsprechende Remote-Programmierung Daten bei Ausführung bestimmter Apps stehlen. Darüber hinaus stelle er eine zweite Verbindung her, wodurch Cyber-Kriminelle die volle Kontrolle über ein bestimmtes Gerät erlangen könnten, und sei – getarnt als „Android“-Update – in der Lage, es komplett zu deaktivieren.

Weitere Kaspersky-Entdeckung: AsymCrypt und Lumma zielen auf Krypto-Wallets

„Eine weitere Entdeckung der Kaspersky-Experten ist Cryptor und Loader ,AsymCrypt’, der auf Krypto-Wallets abzielt und in Darknet-Foren verkauft wird.“ Dabei handele es sich um eine weiterentwickelte Version des „DoubleFinger“-Loaders, der vorgebe, zu einem „TOR“-Netzwerkdienst zu führen. Die Käufer von „AsymCrypt“ könnten Injektionsmethoden, Zielprozesse, Startpersistenz und Stub-Typen für schädliche DLLs individuell anpassen – „wodurch sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken lässt“. Bei der Ausführung werde das Bild entschlüsselt und die Payload im Speicher aktiviert.

Zudem seien die Experten von Kaspersky auf den „Lumma“-Stealer gestoßen, einer sich sukzessiv weiterentwickelnden Malware-Familie. Ursprünglich unter dem Namen „Arkei“ bekannt, habe „Lumma“ 46 Prozent seiner früheren Eigenschaften beibehalten. Als .docx-zu.pdf-Konverter getarnt, löse dieser Stealer, sobald hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe zurückkommen, die schädliche Payload aus. Die Hauptfunktionalität aller Varianten habe sich jedoch im Laufe der Zeit nicht verändert – der Diebstahl zwischengespeicherter Dateien, Konfigurationsdateien und Protokollen von Krypto-Wallets. Der „Lumma“-Stealer gebe sich dafür als Browser-Plugin aus, unterstützt aber auch die eigenständige „Binance“-App. Die Entwicklung von „Lumma“ umfasse die Übernahme von Systemprozesslisten, die Änderung von Kommunikations-URLs und die Optimierung von Verschlüsselungstechniken.

Kaspersky sieht in Threat Intelligence eine entscheidende Rolle für betriebliche IT-Sicherheit

„Cyber-Kriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Krypto-Währungen vor und geben sich sogar als staatliche Institutionen aus“, Tatyana Shishkova, leitende Sicherheitsforscherin im „Global Research and Analysis Team“ (GReAT) bei Kaspersky, in ihrem Kommentar. Die sich ständig weiterentwickelnde Malware-Landschaft, wie der facettenreiche „Lumma“-Stealer und „Zanubis“ als vollwertiger Banking-Trojaner zeigten, machten die dynamische Entwicklung solcher Bedrohungen deutlich.

Sicherheitsteams stehen laut Shishkova permanent vor der Herausforderung, sich an ständig verändernde schädliche Codes und cyber-kriminelle Taktiken anzupassen. Um sich vor solchen Gefahren zu schützen, müssten Unternehmen wachsam und gut informiert bleiben. Sie führt abschließend aus: „Threat Intelligence spiele eine entscheidende Rolle, wenn es darum geht, sich über die neuesten schädlichen Tools und Techniken von Angreifern auf dem Laufenden zu halten. Sie ermöglichen es Unternehmen, den Cyber-Kriminellen im ständigen Kampf für digitale Sicherheit einen Schritt voraus zu sein.“

3 Kaspersky-Empfehlungen:

Offline-Backups erstellen, die von Eindringlingen nicht manipuliert werden können!
Dabei müsse im Notfall ein schneller Datenzugriff gesichert ermöglicht werden.

Einen Ransomware-Schutz für alle Endgeräte implementieren!
Z.B. das kostenlose „Kaspersky Anti-Ransomware Tool for Business“, welches Computer und Server vor Ransomware und anderen Arten von Malware schütze, Exploits verhindere und mit bereits installierten Sicherheitslösungen kompatibel sei.

Sicherheitslösungen mit Anwendungs- und Webkontrolle nutzen!
„Kaspersky Endpoint Security for Business“ beispielsweise minimiere die Wahrscheinlichkeit, dass Krypto-Miner unrechtmäßig gestartet werden. Die integrierte Verhaltensanalyse-Funktion helfe darüber hinaus, schädliche Aktivitäten schnell zu erkennen – und der Schwachstellen- und Patch-Manager schütze vor Sicherheitslücken ausnutzenden Krypto-Minern.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 28.09.2023
A cryptor, a stealer and a banking trojan

SECURELIST by Kaspersky, 12.06.2023
Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency