Der brasilianische Coybot-Android-Trojaner ist wieder wild
Der Coybat Android-Trojaner oder auch BasBanke-Trojaner genannt, ist eine bekannte Trojaner-Infektion, die sich gegen brasilianische Benutzer richtet. Es wurde bereits im Oktober 2018 entdeckt und ist seitdem in verschiedenen Kampagnen aufgetreten. Es richtet sich an Android-Nutzer und lieferte die folgenden Pakete, die von Hackern dahinter erstellt wurden:
- GoogleSystem (gover.may.murder) – 585b675829dcab9f014d0a29861d8b7a77f41b249afc6009833436b95ccf6010
- AAABOBRA (gover.may.murder) – f83e570656943539fa934f2dd0a4fbaec8a4792bb2ed3701b0acf8c924556b9
- SisParte (gover.may.murder) – 09bf981e5de5edaf39cc582a67f4f2561cba3e153f2ccf269514d839c73031f7
- Attribute <(sforca.jyio.pele) – bf20ad4fcc9fb6910e481a199bb7da649bcd29dd91846692875a3a2c737b88d9
Es scheint, dass die Hacker verschiedene Verteilungstechniken für die Malware-Verteilung verwenden. Abgesehen vom üblichen Hochladen in verschiedene Online – Repositorys wird die Malware über eine Scam – E – Mail – Kampagne verbreitet, in der Hacker ein falsches Profil erstellen und Viren zum Herunterladen anbieten, eingebettet in ein Dateiformat jeglicher Art, einschließlich ausführbarer Dateien, Archive, MS Office, PDF – Dokumente usw. die in einer E-Mail angehängt ist. Kurznachrichten innerhalb dieser Art von E-Mails vermitteln den Eindruck, dass die E-Mails legitim und die Anhänge ein wichtiges Dokument zum Herunterladen sind. Einige andere gängige Orte, an denen solche Virendateien oder -pakete verbreitet werden können, sind Facebook und WhatsApp.
Arbeiten des brasilianischen Coybot-Android-Trojaners
Nach einer erfolgreichen Infiltration fragt der Coybot-Trojaner die Benutzer zunächst in einem Popup-Fenster nach den entsprechenden Berechtigungen. Auf diese Weise kann der Trojaner bei jedem Neustart des Betriebssystems aktiviert und die ganze Zeit im Hintergrund ausgeführt werden. Im nächsten Schritt werden bestimmte Trojaner-Komponenten gestartet, mit denen Informationen entführt werden können. Dies ist gefährlich, da dadurch Bankgeschäfte und Online-Zahlungen gesammelt werden können, die auf von Hackern kontrollierte Bankkonten umgeleitet werden können.
Der Coybot verbirgt ihn durch ein Verschlüsselungsmittel vor Sicherheitsdiensten – er verschlüsselt sich selbst durch einen base64-Algorithmus. Wie andere Trojaner kann es Remote-Befehls- und Steuerungsserver verbinden und es ihnen ermöglichen, die vollständige Kontrolle über die Systeme zu übernehmen. Es kann andere schädliche Malware liefern, einschließlich einer Fensterbedrohung namens Pazara.