Forscher von FireEye haben HijackRAT identifiziert, einen cleveren Remote Access Trojaner (RAT). Er konzentriert sich auf mobile Geräte mit dem Android-Betriebssystem und kann Bankinformationen stehlen. Dazu deaktiviert er unter anderem Anti-Virus-Apps.

Der Name des HijackRAT-Pakets ist „com.ll“ und erscheint auf infizierten Android-Geräten als „Google Service Framework“ mit einem generischen Android-Icon.

FireEye:

„Einmal aktiviert, gibt es keine Option mehr zur Deinstallation. Außerdem startet sich ein Service namens ‚GS‘. Klickt der Nutzer auf das Icon, so wird ‚Die App ist nicht installiert‘ angezeigt und das Icon wird vom Home-Bildschirm entfernt.“

HijackRAT fängt gleich darauf mit seiner eigentlichen Aufgabe an. Die Malware verbindet sich mit dem Command-und-Control-Server und arbeitet eine Aufgabenliste ab. Eine der ersten Tätigkeiten besteht in der Entwendung sensibler Daten von dem Gerät, einschließlich Telefonnummer, Gerätekennung und Kontaktlisten.

Den Command-und-Control-Server konnten die Forscher bis nach Hong Kong zurückverfolgen. Sie vermuten aber, dass dies nur ein weiteres mit dem RAT infiziertes Gerät ist. Hinweise in der Benutzeroberfläche deuten darauf hin, dass der Trojaner koreanischer Herkunft ist. Auch die Opfer sind zumeist Koreaner.

Die Malware zielt auf insgesamt acht koreanische Banking-Apps ab, die alle eine weit verbreitete Anti-Viren-App benötigen. Diese App, V3 Mobile Plus, ist im Google Play Store erhältlich.

HijackRAT ist so geschaffen, dass er diese Anti-Viren-App ausschaltet. Daraufhin zwingt der Trojaner dann die Banking-App zur Installation eines vermeintlichen Updates. Installiert man dieses, so deinstalliert sich die eigentliche Banking-App und an ihrer Stelle wird eine gefälschte heruntergeladen.

Zwar zielt die Malware derzeit nur auf koreanische Banken, sie kann aber leicht auf andere Finanzinstitutionen zugeschnitten werden. Der Trojaner enthält derzeit noch unvollendetes Framework, d.h. seine Fähigkeiten sind noch erweiterbar. Auch SMS-Nachrichten können schon gesendet und gestohlen werden.

Viele der Eigenschaften dieser Malware deuten darauf hin, dass Angriffstechniken von normalen Desktopcomputern immer mehr auch in der mobilen Welt Anwendung finden. Domingo Guerra von Appthority:

„Es scheint bisher, dass die App noch nicht weit verbreitet ist und eher ein Testkonzept bösartiger App-Entwickler in Korea darstellt. Allerdings zeigt es, dass Kriminelle aufholen hinsichtlich aktueller Sicherheitsprotokolle und auch wissen, wo sie mobil Geld finden: in den Banking-Apps.“

Artikel von scmagazine.com, 03.07.2014: Sneaky Android RAT disables required anti-virus apps to steal banking info
Artikel von theregister.co.uk, 03.07.2014: Secluded HijackRAT: Monster mobile malware multitool from HELL