Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Hacker räumen Konten per Überweisung leer
Wie die meisten Banking-Trojaner zeigt Escobar Overlay-Anmeldeformulare an, um die Benutzerinteraktionen mit E-Banking-Apps und -Websites zu kapern und die Anmeldedaten der Opfer zu stehlen. Das Hauptziel des Trojaners ist es, genügend Informationen zu stehlen, um den Bedrohungsakteuren zu ermöglichen, die Bankkonten der Opfer zu übernehmen und verfügbare Guthaben abzuschöpfen.Escobar zeichnet sich dadurch aus, dass er nicht nur Tricks nutzt, um Daten zu stehlen, sondern auch um seiner Entdeckung zu entgehen und gleichzeitig die Betroffenen in Sicherheit zu wiegen. Die Malware fordert 25 verschiedene Berechtigungen an, von denen über die Hälfte für bösartige Zwecke missbraucht werden: Dazu gehören Audioaufzeichnung, SMS lesen, Speicher lesen/schreiben, Kontoliste abrufen, Tastensperre deaktivieren, Anrufe tätigen und Zugriff auf den Gerätestandort. Alles, was die Malware sammelt, wird übertragen, einschließlich SMS-Anrufprotokolle, Tastenprotokolle, Benachrichtigungen und Google Authenticator-Codes.
Mit dem Zugriff auf SMS und Google Authenticator können die Kriminellen dann jede Zwei-Faktor-Authentifizierung überwinden und ganz einfach die Kontrolle über das E-Banking übernehmen, um Konten per Überweisung leerzuräumen. Zu den neuen Funktionen des Trojaners gehört die Übernahme der Kontrolle über die infizierten Android-Geräte mithilfe von VNC, die Aufzeichnung von Audiodaten und die Aufnahme von Fotos sowie die Erweiterung der Zielanwendungen für den Diebstahl von Zugangsdaten.
Es ist noch zu früh, um zu sagen, wie populär die neue Escobar-Malware werden wird. Nutzer sollten beim Download von Apps einfach immer darauf achten, nur vertrauenswürdige Quellen zu nutzen. Nach der Installation muss auf ungewöhnliche Anfragen nach Berechtigungen geachtet und die Batterie- und Netzwerkverbrauchsstatistiken der App überwacht werden, um verdächtige Muster erkennen zu können. Zudem sollte Google Play Protect auf dem Gerät aktiviert sein.