Banking-Web-Angriffe sind die größte Cyberbedrohung für den Finanzsektor

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Recorded Future hat aktuelle Daten der Recorded Future ® -Plattform, Darknet-Quellen und Open-Source-Informationen (OSINT) analysiert, um Banking-Web-Injections und die am häufigsten genannten Entwickler dieser Banking-Injections zu identifizieren, die auf zahlreiche Finanzorganisationen weltweit abzielen. Dieser Bericht erweitert die Erkenntnisse des Berichts „Automatisierung und Kommerzialisierung in der Untergrundwirtschaft“ und geht auf Berichte über Datenbankverletzungen, Checker und Brute-Force-Programme, Loader und Crypter sowie Kreditkarten-Sniffer ein. Dieser Bericht dürfte vor allem für Netzwerkverteidiger, Sicherheitsforscher und Führungskräfte von Interesse sein, die mit dem Management und der Eindämmung von Sicherheitsrisiken betraut sind.

Executive Summary

Banken und Finanzinstitute sind die Hauptziele von Cyberkriminellen, die versuchen, personenbezogene Daten (PII), Geld und Finanzdaten zu stehlen. Eine der wirksamsten Methoden zum Erwerb dieser Daten sind Web-Injections bei Banken. Web-Injections nutzen den Man-in-the-Browser (MitB)-Angriffsvektor, normalerweise in Kombination mit Banking-Trojanern, um den Inhalt einer legitimen Bank-Webseite durch API-Hooking in Echtzeit zu ändern. Web-Injections sind in Untergrundforen weit verbreitet. In diesem Bericht stellt Recorded Future fünf der wichtigsten Entwickler und Verkäufer verschiedener Varianten von Banking-Web-Injects im Dark Web vor, liefert ein Beispiel für die Funktionsweise eines Banking-Injects und bietet einige Strategien zur Reduzierung des Risikos derartiger Angriffe.

Hintergrund

Bankeinsätze sind beliebte und wirkungsvolle Betrugswerkzeuge. Sie werden normalerweise zusammen mit Banking-Trojanern verwendet, um schädlichen HTML- oder JavaScript-Code in eine Webseite einzuschleusen, bevor diese auf eine legitime Bank-Website umgeleitet wird. Normalerweise dient ein Web-Inject als Overlay und ähnelt einer legitimen Anmeldeseite einer Bank, auf der der Benutzer aufgefordert wird, zusätzliche vertrauliche Daten wie Zahlungskartendaten, Sozialversicherungsnummern (SSN), PINs, Kreditkartenprüfcodes (CVV) oder zusätzliche PII einzugeben, auch wenn dies von der Bank nicht wirklich benötigt wird.

Banking-Injections sind Teil eines MitB- Angriffs, bei dem der Banking-Trojaner durch API-Hooking den Inhalt einer legitimen Bank-Webseite in Echtzeit ändern kann. Modifizierter infizierter Inhalt, der der legitimen Webseite hinzugefügt werden soll, befindet sich in einer Web-Inject-Konfigurationsdatei, die normalerweise auf einem Remote-Command-and-Control-Server (C2) gehostet und auf die infizierte Maschine oder das infizierte Gerät heruntergeladen wird. Angreifer können die Konfigurationsdateien auf dem Server und auf infizierten Maschinen automatisch aktualisieren. Cyberkriminelle verschlüsseln und verschleiern diese Konfigurationsdateien, um der Erkennung durch Antivirensoftware zu entgehen.

Viele Banking-Web-Injections zielen auf die Betriebssysteme Windows und Android ab und sind mit mehreren Banking-Trojanern integriert, wodurch es möglich wird, sich Zugriff auf das Bankkonto des Benutzers zu verschaffen. Zu den beliebtesten Banking-Trojanern, die normalerweise in Web-Injects integriert sind, gehören Cerberus, Anubis, Mazar, ExoBot, Loki Bot und RedAlert.

Einige technisch fortgeschrittene Web-Injektionen verwenden ein automatisches Überweisungssystem (ATS), das elektronische Geldüberweisungen vom angegriffenen Computer des Opfers aus einleiten kann. Bei dieser Methode ist keine Anmeldung beim Konto des Opfers und kein Umgehen der 2FA erforderlich. ATS fügt mit dem Command-and-Control-Server (C2) verknüpfte Skripte mit Bankdaten wie Bankkonten, Kontoständen und anderen persönlichen Informationen ein und kann eine Geldüberweisung veranlassen. Wenn die Überweisung autorisiert wird, werden die Gelder auf das von den Cyberkriminellen kontrollierte Konto umgeleitet.

Viele Web-Injects verfügen zudem über folgende technische Funktionalitäten:

• Einige Web-Injections können 2FA umgehen.
• In Banking-Trojaner integrierte Web-Injektionen verfügen über Kontrollfelder und können die vollständige Kontrolle über den Computer des Benutzers erlangen.
• Banking-Web-Injections werden auf verschiedene Arten übermittelt, am häufigsten werden sie jedoch über Phishing-E-Mails und Exploit-Kits verbreitet.

Einige Entwickler von Web-Injects für Banken bieten sowohl vorgefertigte Web-Injects als auch maßgeschneiderte Web-Injects an, die individuell nach Kundenwunsch erstellt werden. Diese Produkte sind wesentlich teurer und können bis zu 1.000 US-Dollar kosten, während die durchschnittliche Preisspanne für einen technisch weniger anspruchsvollen Single-Banking-Inject, dessen Funktionalität mit der einer einfachen Phishing-Seite vergleichbar ist, zwischen 40 und 70 US-Dollar liegt.

In der Regel werden Web-Injections individuell angepasst, um eine bestimmte Organisation oder Website anzugreifen. Wenn Organisationen bestimmte Web-Injections verfolgen, die auf eine bestimmte Organisation abzielen, wenn diese im Dark Web beworben werden, können sie möglicherweise sich entwickelnde Kampagnen von Cyberkriminellen identifizieren.

Auf der Grundlage von Untersuchungen und Analysen hat Recorded Future die folgenden fünf Bedrohungsakteure als die technisch versiertesten und am häufigsten erwähnten Ersteller von Banking-Web-Injections im Dark Web identifiziert: yummba, Validolik, Kaktys1010, Pw0ned und „ANDROID-Cerberus“.

_Banking-Web injiziert ins Darknet (Quelle: Recorded Future)_

Die Bedrohungsakteure hinter maßgeschneiderten Banking-Web-Inject-Varianten###

jummba

Der als „yummba“ bekannte Bedrohungsakteur ist ein äußerst erfahrener, russischsprachiger Hacker und der Autor von ATS-Web-Injections, die auf zahlreiche Finanzorganisationen auf der ganzen Welt abzielten und Schäden in Höhe von schätzungsweise mehreren zehn Millionen Dollar verursachten. Der Bedrohungsakteur hat sich im Oktober 2012 erstmals im Verified-Forum registriert. Der Bedrohungsakteur wurde mit berüchtigten Cyberkriminellen in Verbindung gebracht, darunter auch mit dem russischsprachigen „Lauderdale“, und war Mitglied wichtiger Untergrund-Communitys, in denen er für Schadsoftware Werbung machte. yummba ist als Entwickler hochgradig individueller Tools etabliert, von denen einige speziell für Kunden erstellt werden. Diese Produkte sind deutlich teurer und kosten bis zu 1.000 USD. In der Regel enthalten die von yummba bereitgestellten Web-Injections den vollständigen Quellcode, dessen Weiterverkauf den Käufern nach Ansicht des Bedrohungsakteurs jederzeit gestattet ist. Obwohl yummba den öffentlichen Verkauf von Web-Injects in Foren eingestellt hat, kann es sein, dass das Unternehmen diese weiterhin privat an Kunden verkauft.

Die angepassten Web-Injects von yummba sind mit allen Versionen verfügbarer Trojaner kompatibel, beispielsweise mit dem Banking-Trojaner Zeus. yummba hat die Verwendung seiner Produkte gegen Russland oder andere Mitglieder der Gemeinschaft Unabhängiger Staaten (GUS) strengstens untersagt. Dabei handelt es sich um eine gängige Maßnahme von Bedrohungsakteuren mit Sitz in Russland oder der GUS-Region, um sich vor den örtlichen Strafverfolgungsbehörden zu schützen. Recorded Future hat beobachtet, dass die Web-Injections des Bedrohungsakteurs auf mehrere internationale Finanz- und Zahlungssysteme sowie auf Social-Media- und E-Commerce-Unternehmen abzielten, wobei der Schwerpunkt seiner Bemühungen offenbar auf französischen Organisationen lag.

Laut Akamai Technologies ist die Software von yummba leistungsfähiger als vergleichbare Software, da sie über die Web-Injections der ATS Engine verfügt. Diese kompromittieren nicht nur das Gerät oder Netzwerk eines Clients, sondern ermöglichen auch Cross-Site-Scripting, Phishing und Drive-by-Download-Angriffe.

Validolik

Validolik, auch bekannt als „Validol“, „Валидолик“ und „Валидол“, ist oder war Mitglied mehrerer erstklassiger russischsprachiger Foren, darunter Exploit, XSS, Verified und die derzeit nicht mehr bestehenden weniger erfolgreichen Foren WT1 und HackZona. Der Bedrohungsakteur war einer der führenden Entwickler von Android-Web-Injections. Am 16. Mai 2017 veröffentlichte Validolik im Exploit-Forum mehrere Android-Injections, die speziell für gezielte Angriffe auf eine große Zahl US-amerikanischer und internationaler Banken sowie auf Organisationen aus den Bereichen Finanzen, E-Commerce, Software und Social Media entwickelt wurden. Den Postings des Bedrohungsakteurs zufolge waren die Web-Injections mit den meisten Android-Trojanern (Mazar, ExoBot, Loki Bot, Anubis und RedAlert) kompatibel und verwendeten HTML und JavaScript.

Der Bedrohungsakteur hat mehr als 210 Web-Injections angeboten, die auf Banken in über 20 Ländern abzielen, darunter Australien, Österreich, Kanada, die Tschechische Republik, Frankreich, Deutschland, Ungarn, Hongkong, Indien, Irland, Japan, Kenia, die Niederlande, Neuseeland, Polen, Rumänien, Spanien, die Türkei und die Vereinigten Staaten.

Der von Validolik bereitgestellte Service umfasst drei Optionen:

• „Abonnement“ – gewährt allen Abonnenten des Dienstes Zugriff auf alle Web-Injections für die folgenden fünf Trojaner: Mazar, ExoBot, Loki Bot, Anubis und RedAlert, mit entsprechenden Rabatten und Vorteilen für die Abonnenten. Die einmalige Zahlung für den Abonnementdienst betrug 1.500 USD.
• „Folgen“ – gewährt allen Service-Abonnenten Zugriff auf alle Web-Injects ohne zusätzliche Vorteile. Die einmalige Zahlung für den Abonnementdienst betrug 1.200 USD.
• „Gefällt mir“ – Abonnenten des Dienstes erhalten unabhängig vom Preis Zugriff auf 50 beliebige Web-Injects aus der vollständigen Liste. Die einmalige Zahlung für den Abonnementdienst beträgt 500 USD.

Validolik hat sowohl einzelne Web-Injections für ein bestimmtes Opfer als auch in großen Mengen verkauft und dabei verschiedene Banken und Finanzorganisationen im selben Land ins Visier genommen. Beispielsweise betrug der Startpreis für einen einzelnen Web-Injection zum Diebstahl von Anmelde-/Passwortinformationen 10 US-Dollar. Der Durchschnittspreis für solche Web-Injects beträgt 20 bis 40 US-Dollar. Der Preis pro Web-Inject-Paket hängt von der Anzahl der Web-Injects pro Paket ab und liegt zwischen 120 und 180 US-Dollar.

Validolik hat außerdem eine modifizierte Version des Banking-Trojaners Anubis verkauft und bietet zwei Versionen an: „Light“ für 1.500 US-Dollar und „Premium“ für 5.000 US-Dollar.

Im Januar 2020 erhielt Validolik in Darknet-Foren mehrere negative Beschwerden und Rückerstattungsanträge von anderen Cyberkriminellen zum Anubis-Botnetz, da die Qualität des oben genannten Botnetzes angeblich schlecht war. Infolgedessen wurde der Bedrohungsakteur in den Exploit- und Verified-Foren gesperrt.

_Österreichisches Bank-Inject-Paket erstellt von Validolik (Quelle: Exploit-Forum) _

_Beispiel für zweistufige Bank-Web-Injections mit dem Kreditkarten-Grabber von Validolik (Quelle: Exploit-Forum)_

Kaktys1010

Kaktys1010, Mitglied der Foren Exploit, XSS und VLMI sowie des derzeit nicht mehr bestehenden Infraud-Forums, ist Entwickler von Windows- und Android-Web-Injections und gefälschten Webseiten mit und ohne SMS-/Token-Abfang. Darüber hinaus ist der Bedrohungsakteur der Betreiber der Onion-Website „KTS“, die für die oben genannten Windows- und Android-Web-Injects wirbt. Der Bedrohungsakteur verkauft seit mindestens 2015 Banking-Web-Injects im Dark Web. Die Website KTS bietet eine breite Palette von HTML-Web-Injections, die auf zahlreiche Banken und Finanzinstitute weltweit ausgerichtet sind und in die folgenden Kategorien unterteilt sind:

• Android-Web-Injektionen
• Gefälschte Webseiten
• Dynamische Webseiten
• Statische Webseiten
• TrueLogin-Webseiten
• Injektionen
• Unkategorisiert

_KTS Shop Landingpage mit Auflistung von Web-Injects (Quelle: KTS)_

Der Bedrohungsakteur verkauft Web-Injections, die angeblich darauf ausgelegt sind, vor allem Organisationen in den folgenden Ländern anzugreifen: Belgien, Kanada, Kolumbien, Tschechische Republik, Dänemark, Frankreich, Deutschland, Iran, Irland, Italien, Mexiko, Niederlande, Polen, Spanien, Türkei und Vereinigtes Königreich.

Kaktys1010 entwickelt außerdem Web-Injections, die vom Opfer verlangen, zur Anmeldung seine E-Mail-Adresse, persönliche Dokumente und Verified by Visa (VBV)- und MasterCard SecureCode (MC)-Nummern einzugeben. Laut Aussagen des Bedrohungsakteurs erfordern einige Android-Banking-Web-Injections das Herunterladen der Android Application Package-Datei (apk). Dabei handelt es sich um ein Dateiformat, das von Android und anderen Android-basierten Betriebssystemen zur Verteilung und Installation mobiler Anwendungen verwendet wird.

Die Preisspanne der Web-Injects variiert zwischen 60 und 500 US-Dollar. KTS bietet Banking-Web-Injects mit Listenpreisen und einer Warenkorbfunktion zum Verkauf an. Wenn der Kunde das Produkt jedoch kaufen möchte und es in den Warenkorb legt, wird er zum Forum Exploit weitergeleitet, wo er mit dem Verkäufer verhandeln muss. Es besteht keine Möglichkeit, Web-Injects direkt von KTS zu kaufen. Auf der KTS-Website finden Sie Video-Tutorials mit Anleitungen zur Funktionsweise der aufgeführten Web-Injects. Recorded Future hat festgestellt, dass der Bedrohungsakteur auf der Website keine Windows-Banking-Injections verkauft, sondern auf Kundenwunsch speziell gestaltete Injections erstellt.

_Kaktys1010 hat einen Banking-Web-Angriff entwickelt, der auf die Bank of Ireland abzielt (Quelle: KTS)_

Der Bedrohungsakteur entwickelt und verkauft außerdem Android-Web-Injections, die speziell für soziale Medien und Messenger mit Zahlungskarten-Grabber-Funktion konzipiert sind. Am 11. April 2016 veröffentlichte der Bedrohungsakteur beispielsweise ein Web-Injection-Paket für 450 US-Dollar, das auf Facebook, Instagram, WhatsApp, Viber, Skype und Google Play abzielte. Der Akteur bettet die Phishing-Generatorfunktion in seine Web-Injections ein, wodurch Angreifer die Farbe, Schriftart und Position der Elemente auf der Phishing-Webseite sowie andere Eigenschaften ändern können.

Die Web-Injects von Kaktys1010 können mit einem Admin-Panel namens „uAdmin“ (Universal Admin) gesteuert werden. Das Admin-Panel ist mit den folgenden Plugins verknüpft:

• Protokollparser
• Ereignisprotokollierung
• Virtual Network Computing (VNC) – ermöglicht die Verbindung zur Botnet-API über VNC und SOCKS
• Token-Abfangen
• Opfertracker
• Zusätzliche Framework-Plugins, einschließlich Textmanager und Money Drop Manager

_'uAdmin'-Panel entwickelt von Kaktys1010 (Quelle: Exploit-Forum)_

Obwohl der Bedrohungsakteur Englisch und Russisch verwendet, um in Darknet-Foren für Web-Injections zu werben, hat Recorded Future festgestellt, dass der Bedrohungsakteur, der das mit diesem Spitznamen verknüpfte Telegram-Konto betreibt, kein Russisch spricht und auch kein englischer Muttersprachler ist. Es ist wahrscheinlich, dass das Konto „kaktys1010“ von einem Netzwerk von Einzelpersonen betrieben wird.

Pw0ned

Pw0ned, auch bekannt als „ws0“, „pwoned1“, „Fent“, „Felothis“, „Yan Okrasov“, „Ян Окрасов“, „User Tester“ und „ini“, ist ein erfahrener russischsprachiger Hacker, Penetrationstester und Carder mit überdurchschnittlichen Kenntnissen in JavaScript und PHP. Der Bedrohungsakteur wurde erstmals Ende April 2013 im russischsprachigen Forum YouHack beobachtet. Allerdings dauerte es bis zum Jahr 2015, bis Pw0ned dauerhaft zu einem aktiven Teilnehmer in verschiedenen Darknet-Quellen wurde. Der Bedrohungsakteur richtete mehrere Konten in mindestens sechs der folgenden russischsprachigen kriminellen Foren ein: Exploit, Verified, FuckAV, BHF, WWH Club und Antichat. Seit 2019 ist der Bedrohungsakteur vor allem als Entwickler gefälschter Webseiten für beliebte Social-Media-Marken, darunter Instagram und VKontakte (VK), sowie E-Mail-Dienstanbieter wie Gmail, AOL und Yandex bekannt. Zu dieser Entwicklung gehören Remote-Admin-Panels, gefälschte HTML-Briefe für Spam-Kampagnen und gefälschte Kopien von Websites. Recorded Future hatte die Aktivitäten von Pw0ned zuvor untersucht und kam zu dem Schluss, dass Pw0ned in Kiew oder der Region Kiew in der Ukraine wohnhaft ist und vermutlich am 19. März 1998 geboren wurde. Es ist auch sehr wahrscheinlich, dass sein Vorname Mikhail (auf Russisch Михаил) ist.

Neben der Entwicklung und dem Verkauf der oben genannten Phishing-Webseiten ist der Bedrohungsakteur auch der Entwickler von Banking-Web-Injections, die mit dem Cerberus Android Bot und dem Anubis Android Trojaner kompatibel sind. Ende Juli 2020 stellte Recorded Future fest, dass der Entwickler oder Verkäufer des Projekts „ANDROID-Cerberus“ das Android-Bot-Projekt Cerberus in Exploit- und XSS-Foren versteigerte. Der Bedrohungsakteur verkaufte die Malware zusammen mit ihrem Quellcode, dem Quellcode des Admin-Panels, den Malware-Servern und der Kundendatenbank mit allen aktiven Lizenzen und Kontaktinformationen. Der Startpreis der Auktion lag bei 25.000 US-Dollar, alternativ konnte die Schadsoftware direkt für 100.000 US-Dollar erworben werden. Später veröffentlichte der Bedrohungsakteur den Quellcode des Botnetzes öffentlich im Dark Web. Pw0ned gab an, mehr als 210 Web-Injects für das Cerberus Android-Botnetz erstellt zu haben. Sobald es im Dark Web versteigert wurde, bot der Bedrohungsakteur alle Web-Injects für nur 150 US-Dollar an.

ANDROID-Cerberus

ANDROID-Cerberus, auch bekannt als „Android“ oder „Cerberus“, ist Mitglied mehrerer Untergrundgemeinschaften und der Entwickler des Cerberus Android Bot. Der Bedrohungsakteur stellte sein kriminelles Unternehmen am 11. August 2020 angeblich aus Zeitmangel für die Arbeit an der Schadsoftware ein und gab den Quellcode der Cerberus Android Bot-Infrastruktur frei, der „Cerberus v1 + Cerberus v2 + Installationsskripte + Admin-Panel + SQL DB“ umfasst. Der Bedrohungsakteur hat außerdem den vollständigen Satz verfügbarer Web-Injections freigegeben. Die Analysten von Recorded Future untersuchten den vom Akteur in das Archiv gepackten Quellcode und identifizierten mehrere gut gestaltete Webseiten, die sich als Banken, Finanzinstitute und soziale Netzwerke ausgaben.

Bei den veröffentlichten Web-Injections handelt es sich um die vom Android-Trojaner Cerberus unterstützten Apps zum Diebstahl von Anmeldeinformationen. Cerberus unterstützt den Diebstahl von Anmeldeinformationen aus der jeweiligen Android-App und kann anhand der Android-Kennung des Namens bestimmen, welche App als Angriffsziel dient. Beispielsweise enthält der Ordner „Web Injects“ zwei Dateien mit der Kennung für die Gmail-Anwendung von Google (com[.]google.android[.]gm). gefolgt von „.html“ und „.png“. Da Cerberus für diese Injektion die Eingabehilfefunktion von Android missbraucht und offenbar Zugriff auf eine Vielzahl von Daten auf dem Telefon des Benutzers hat (einschließlich Textnachrichten, Google Authenticator-Codes und das Entsperrmuster für das Gerät), würde 2FA die Bedrohung nicht unbedingt eindämmen. Recorded Future geht davon aus, dass es bei Banken und Finanzinstituten zu einem Anstieg der Betrugsversuche kommen wird, seit der Quellcode der breiten Öffentlichkeit zugänglich gemacht wurde. Hunderte, wenn nicht Tausende von Bedrohungsakteuren werden den durchgesickerten Code und die Methodik wahrscheinlich bei ihren täglichen betrügerischen Aktivitäten verwenden.

Analyse der Cerberus Android Bot Banking Injections

Recorded Future hat eine Analyse des Quellcodes des Android-Bots Cerberus durchgeführt, der öffentlich im Dark Web geteilt wurde. Der Code enthält eine Klasse namens „srvSccessibility“, die die Hauptroutine zur Verwaltung der Injektionsfunktionalität darstellt. Diese Funktion erweitert die Android AccessibilityService-Klasse, die Verbesserungen der Benutzeroberfläche bietet. „srvSccessibility“ ist ein vom Entwickler definierter „Accessibility Service“. Eingabehilfedienste werden im Hintergrund ausgeführt und ermöglichen es Entwicklern, auf Kontextänderungen zu „hören“, z. B. auf das Klicken auf eine Schaltfläche oder eine Änderung des Fensterfokus, und auch den Inhalt des aktiven Fensters abzufragen. Sofern sie nicht in böswilliger Absicht verwendet werden, sollen sie Entwicklern dabei helfen, Benutzern, die möglicherweise ein alternatives Feedback zur Benutzeroberfläche benötigen, einen besseren Service zu bieten.

Um diese Funktionalität zu unterstützen, muss der Entwickler dann die erforderlichen Funktionen implementieren, einschließlich „onAccessibilityEvent“, das aufgerufen wird, wenn ein Ereignis eintritt, das den von einem Eingabehilfedienst angegebenen Ereignisfilterparametern entspricht. Eine kurze Beschreibung lautet wie folgt:

• Diese Funktion wird aufgerufen, wenn ein „Zugänglichkeitsereignis“ eintritt, z. B. wenn sich die fokussierte Anwendung ändert oder der Benutzer Text in eine Anwendung eingibt.

• Die Anwendung sammelt den Paketnamen der Anwendung im Fokus und platziert ihn in der Variable „app_inject“. Dies wäre dann der Name der nun gestarteten Anwendung, beispielsweise „com.bankaustria.android.olb“. (1).

• Die Anwendung überprüft, ob der Name der Anwendung zu denen gehört, die als für die Informationserfassung interessant aufgelistet sind (2). Eine Anwendung ist dann interessant, wenn sie mit der Liste der zu erfassenden Mail-Dienste oder Anwendungsdienste übereinstimmt. Zu diesen Anwendungsnamen gehören:

• Mail-Dienste: Gmail (com.google.android[.]gm), die mail[.]com Android-Anwendung (com.mail.mobile.android[.]mail), Hotmail (com.connectivityapps[.]hotmail), Outlook (com.microsoft.office[.]outlook), und Yahoo! (com.yahoo.mobile.client.android[.]mail)

• Anwendungsdienste: Google Play App Store (com.android[.]vending), Telegramm (org.telegram[.]messenger), Uber (com[.]ubercab), WhatsApp (com[.]whatsapp), WeChat (com.tencent[.]mm), Viber (com.viber[.]voip), Snapchat (com.snapchat[.]android), Instagram (com.instagram[.]android), imo Messenger (com.imo.android[.]imoim), und Twitter (com.twitter[.]android)

• Wenn die Anwendung anhand der oben genannten Kriterien feststellt, dass diese Anwendung von Interesse ist, beginnt sie mit dem Injektionsprozess, indem sie eine Instanz der Klasse „actViewInjection“ erstellt und startet. Diese Klasse wird vom Bedrohungsakteur erstellt und ist für die Erstellung des Overlays verantwortlich. (3)

• Der Code zum Laden der Injektion funktioniert, indem er eine „Web-Ansicht“ erstellt und den Inhalt entweder auf das gefälschte Webseiten-HTML der spezifischen Banking-Anwendung (sofern in der Liste der unterstützten Injektionen verfügbar), das gefälschte Webseiten-HTML des Anwendungsdienstes oder das gefälschte Webseiten-HTML der E-Mail-Dienstanwendung einstellt. (4)

• Schließlich wird die Ansicht über den Bildschirm gelegt, sodass der Benutzer der Anwendung denkt, er befinde sich auf einer legitimen Website, während Cerberus in Wirklichkeit bereit ist, seine persönlichen Daten zu stehlen. (5)

Recorded Future stellte fest, dass der „auskommentierte“ Code in „srvSccessibility.java“ Die Datei sieht dem Code sehr ähnlich, den die Forscher bei der Analyse von Cerberus Android im August 2019 besprochen haben. Dies lässt darauf schließen, dass der Bedrohungsakteur den Code überarbeitet hat, dabei aber weiterhin die im Bericht beschriebene Overlay-Funktionalität nutzt.

Gegenmaßnahmen

Es gibt gute Regeln, die beim Erkennen und Verhindern von Web-Injection-Angriffen hilfreich sind. Wir empfehlen die folgenden Minderungsstrategien:

• Gestalten Sie die Anmeldewebseite für eine Anwendung neu, sodass sie sich vom PNG-Bild im durchgesickerten Quellcode unterscheidet. Erwägen Sie das Hinzufügen eines Wasserzeichens, das clientspezifisch ist oder sich je nach Zeit ändert, da Cerberus Android für jede unterstützte Bank statische Bilder verwendet. Machen Sie die Kunden darauf aufmerksam, dass es sich nicht um eine authentische Anmeldeseite für diese App handelt, wenn das Bild/Wasserzeichen nicht angezeigt wird.
• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware, Anwendungen und wichtige Systemdienstprogramme.
• Installieren Sie für Benutzer eine Antivirenlösung, planen Sie Signaturaktualisierungen und überwachen Sie den Antivirenstatus auf allen Geräten.
• Verwenden Sie im Internet ausschließlich eine HTTPS-Verbindung.
• Schulen Sie Ihre Mitarbeiter und führen Sie Schulungen mit simulierten Phishing-Szenarien durch.
• Verwenden Sie wenn möglich eine Multi-Faktor-Authentifizierung (MFA).
• Setzen Sie einen Spamfilter ein, der Viren, leere Absender usw. erkennt.
• Setzen Sie einen Webfilter ein, um bösartige Websites zu blockieren.
• Verschlüsseln Sie alle vertraulichen Unternehmensinformationen auf dem Gerät.
• Empfehlen Sie Benutzern, Apps und Dateien nur aus vertrauenswürdigen Quellen herunterzuladen.

Ausblick

Der Verkauf maßgeschneiderter Web-Injects ist im gesamten Dark Web ein lukratives Geschäft. Viele berüchtigte Cyberkriminelle entwickeln gezielt Web-Injections für die Entwickler und Betreiber von Banking-Trojanern und zielen damit auf zahlreiche Finanzinstitute weltweit ab. Die Verbreitung der Malware erfolgt hauptsächlich über Phishing-Kampagnen und Exploit-Kits.

Recorded Future geht davon aus, dass Web-Injections im Banking wahrscheinlich auch weiterhin einer der wichtigsten Angriffsvektoren für den Finanzsektor bleiben werden, insbesondere im Lichte der kürzlichen Veröffentlichung des Quellcodes des Android-Bots Cerberus.

Anmerkung des Herausgebers: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.