Een schadelijke app die zich voordoet als een hulpmiddel voor het opnemen van telefoongesprekken in de google Play Store, wist duizenden euro's te stelen bij een aantal bankklanten in Europa. Bij de getroffen banken zat onder andere de Nederlandse bank ING, maar bij deze bank heeft de trojan voor zover bekend geen slachtoffers gemaakt.
Lees hieronder hoe de trojan werkte
De malware zat verborgen in de QRecorder-app, die werd geleverd als een automatische oproep en spraakregistratie. Ten tijde van de analyse was het meer dan 10.000 keer gedownload.
Na de installatie kan de kwaadwillende app sms-berichten onderscheppen en toestemming vragen voor andere toepassingen met de interface.
Met deze functies kan de app twee-factor authenticatiecodes stelen die gebruikers via SMS ontvangen en bepalen wat de gebruiker op het scherm ziet.
ESET-beveiligingsonderzoeker Lukas Stefanko zegt dat de functies voor geluidsopname werkten zoals verwacht, dus slachtoffers zouden geen reden hebben om verdacht te zijn van schadelijke activiteiten.
Volgens Stefanko stuurt de operator binnen 24 uur na installatie zijn instructies naar de app, een daarvan is een scan van het apparaat voor specifieke bank-apps.
Telkens wanneer een voor de trojan kwetsbare bank-app werd gelanceerd, genereerde de Trojanized QRecorder een overlay phishing-scherm (dat 1-op-1 leek op het bank-app login scherm) om zo inloggegevens te verzamelen en door te sturen aan de aanvaller. De aanvaller kreeg daarna ook de SMS code van de trojan en kon dan zélf inloggen op het bankaccount van het slachtoffer en geld overmaken.
De Tsjechische televisie zegt dat de malware gericht is op apps van Raiffeisen Bank, evenals ČSOB en Česká Spořitelna, twee van de grootste banken in Tsjechië.
Uit de analyse van Stefanko bleek dat het aantal financiële instellingen waarop de malware effect had veel groter was, met grote namen zoals: Air Bank, Equa, ING, Bawag, Fio, Oberbank en Bank Austria.
Stefanko: “Op basis van de taalmutaties die in de app en de payload worden gebruikt, kan ik zeggen dat de hoofddoelen Duitse, Poolse en Tsjechische banken zijn. Voor verschillende bank-apps worden verschillende payloads gemaakt die gericht zijn op bepaalde apps. Ik kon de decryptie sleutel echter niet verkrijgen en dus niet alle doelen identificeren”.
De banking Trojan is een BankBot-variant
De malware is geïdentificeerd als Razdel, een variant van BankBot (Anubis I) voor mobiel bankieren die nog niet zo wijdverspreid is.
Beveiligingsonderzoekers van Threatfabrik analyseerde Razdel en ontdekte dat de doelen van de ene campagne naar de andere verschoven, afhankelijk van de regio waarop de exploitant zich richt.
Het lijkt erop dat de 10.000 downloads ten minste twee slachtoffers hebben gemaakt, die ongeveer EUR 10.900 verloren, meldt een Tsjechische publicatie. De app heeft mogelijk echter kleinere bedragen gestolen van andere slachtoffers.
Banken wijzen er op dat de instelling de bankrekeningen controleert op verdachte uitgaande transacties die worden geïnitieerd vanuit Android-telefoons, en klanten waarschuwt als zich ongewone wijzigingen voordoen, maar dan is het kwaad al geschied.
De trojan bleef onopgemerkt door het beveiligingsmechanisme van Google Play
Banking trojans hebben in zowel Google Play als in apple's app store al vaker voor rumoer gezorgd. Er zijn er aan het begin van de maand verschillende gemeld, terwijl Nikolas Chrysaidos van Avast informatie heeft gedeeld over een campagne die dit type malware verspreidde
Miroslav Dvořák, technisch directeur bij ESET, zegt dat een interne analyse aantoont dat QRecorder oorspronkelijk een legitieme applicatie was, die het aantal downloads verklaart en de kwaadaardige functionaliteit in de laatste update heeft toegevoegd.
De schadelijke QRecorder-app die door ESET-onderzoekers is geanalyseerd, is niet langer aanwezig in de officiële Android-winkel.
