Android-Malware spioniert User aus, setzt dann Handy zurück

Das Betriebssystem Android wird immer öfter zum Ziel Krimineller. Wie die Cybersecurity-Firma Cleafy berichtet, ist die Zahl der Infektionen mit sogenannten Android-Remote-Access-Trojanern (RAT) im vergangenen Jahr sprunghaft angestiegen. Darunter fällt auch eine besonders heimtückische RAT-Variante namens BRATA („Brazilian RAT Android“).

In der Vergangenheit war die BRATA-Malware dafür bekannt, Bankdaten von Android-User*innen zu klauen und sich an deren Bankkonten zu vergehen. Laut einem Bericht von Cleafy habe sich BRATA aber nun weiterentwickelt und sei gefährlicher denn je. Der Trojaner habe unter anderem die Fähigkeit, das Gerät auf Werkseinstellungen zurückzusetzen.

Betrug mittels Link 

BRATA verschafft sich Zugang zum jeweiligen Gerät, indem es eine SMS mit einem Link verschickt. Ein klassischer Spoofing Scam. Für Nutzer*innen sieht es so aus, als käme die Nachricht von der eigenen Bank. Sobald sie allerdings auf den in der SMS befindlichen Link klicken, werden sie auf eine Website weitergeleitet. Diese fordert Opfer dazu auf, eine Anti-Spam-App herunterzuladen, die mehr Sicherheit verspricht. Um sich selbst und das eigene Konto zu "identifizieren" sollen Opfer zusätzlich die eigenen Bankdaten angeben. 

Ist die Malware-App einmal installiert und sind die entsprechenden Zugriffsrechte erteilt, haben die Betrüger*innen freies Spiel. Sie können die Kontrolle über die infizierten Geräte der Opfer übernehmen und sich Zugriff zu deren Bankdaten verschaffen.

Viele Varianten im Umlauf

Gemäß Cleafy sei BRATA nun noch heimtückischer geworden. Eigenen Angaben zufolge identifizierte die Sicherheitsfirma 3 neue Varianten von BRATA (A, B und C), allesamt Weiterentwicklungen des ursprünglichen Trojaners.

BRATA.A sei mittlerweile am weitesten verbreitet. Die Malware kann sich nicht nur Zugriff zu dem Gerät verschaffen, sondern die Smartphones der seiner Opfer sogar auf Werkseinstellungen zurücksetzen und per GPS verfolgen. Letztere Funktion stecke noch in den Kinderschuhen, versichert die Sicherheitsfirma auf ihrer Webseite. Dass BRATA.A aber nun Geräte zurücksetzen kann, mache die Malware hochgefährlich. Denn nach einem erfolgreichen Bankbetrug, können die Betrüger*innen ihren eigenen Zugriff auf das Gerät verschleiern. Der Angriff bleibt unentdeckt.

BRATA.B verfügt über ähnliche Funktionen. Wie Cleafy beobachtete, kann es zusätzlich Code verschleiern und Bankwebseiten besser imitieren, wodurch der Betrug noch effektiver wird. BRATA.C ist schließlich eine Weiterentwicklung der Infiltrationstaktik des Trojaners. Anstatt einer App, installiert die Malware gleich 2. Das sorgt dafür, dass sich BRATA nur mit einem Klick des Opfers Zugang zum Gerät verschaffen kann.

Kriminelle weiten Revier aus

Cleafy konnte bereits BRATA-Varianten in Großbritannien, Polen, Spanien, Italien, China sowie in einigen lateinamerikanischen Ländern abfangen. Der Bericht deutet darauf hin, dass die Betreiber*innen von BRATA ihr Revier ausdehnen und die Malware weiterentwickeln wollen. Expert*innen erwarten, dass der Trojaner bald über weitere Funktionen verfügt.

Nutzer*innen können ihr Gerät am besten schützen, indem sie darauf achten, welche Apps installiert werden und welchen sie explizit  Zugriffsberechtigungen erteilen. Besondere Vorsicht ist außerdem bei Apps geboten, die in Drittanbieter-Stores zur Installation bereit stehen. Sollte sich doch ein Virus auf dem eigenen Anroid-Gerät eingenistet haben, gibt der nachfolgende futurezone-Artikel eine Anleitung für den Ernstfall.