Blog von Softwarekaufen24

Android-Trojaner Copybara – was über die neuen Varianten bekannt ist

Die Copybara-Malware breitet sich gegenwärtig in neuen Varianten auf Android-Plattformen aus. Sie verwendet den Android-Accessibility-Service, um Kontrolle über betroffene Geräte zu erlangen. Dieses Framework unterstützt die Entwicklung von Funktionen wie Bildschirmvergrößerungen, Sprachbefehle, Gesten und Schalterbedienungen. Solche Services bieten Personen mit Sehbehinderungen, Hörproblemen oder eingeschränkter Mobilität alternative Wege zur Interaktion. In diesem Blogbeitrag gehen wir auf die wichtigsten Aspekte des Themas ein.

Copybara-Malware nutzt MQTT-Protokoll

Die neueste Version der Copybara-Malware basiert auf dem seit 2021 aktiven Copybara-Trojaner, der jedoch in keiner Verbindung zu dem Open-Source-Tool steht, das für das Kopieren von Repositories genutzt wird. Laut Cybersecuritynews wurde diese Variante erstmals im November 2023 entdeckt und untersucht. Die Analyse offenbarte eine signifikante Weiterentwicklung des Trojaners, der nun Funktionen wie Keylogging, das Abfangen von SMS, das Erstellen und Weiterleiten von Screenshots, den Diebstahl von Anmeldeinformationen und die Fernsteuerung von Android-Geräten umfasst. Für die Übermittlung von Steuerbefehlen setzt die Malware auf das MQTT-Protokoll.

MQTT, ursprünglich als MQ Telemetry Transport bekannt, ist ein offenes Netzwerkprotokoll, das für die Machine-to-Machine-Kommunikation (M2M) entwickelt wurde. Es erleichtert den Austausch von Telemetriedaten in Nachrichtenform zwischen Geräten, auch unter Bedingungen von starken Verzögerungen oder eingeschränkten Netzwerken. Die Bandbreite der kompatiblen Geräte erstreckt sich von Sensoren und Aktoren über Mobiltelefone und eingebettete Systeme in Fahrzeugen bis hin zu Laptops und voll ausgestatteten Computern.

Wie sich die Android-Malware verbreitet

Die Verbreitung dieser Malware geschieht durch die Installation manipulierter Apps, die anschließend Schadcode nachladen. Cyberkriminelle nutzen dabei gezielt erbeutete Kontaktdaten, um Opfer mittels SMS-Phishing (Smishing) oder Voice-Phishing (Vishing) zum Installieren des Schadcodes zu bewegen. Oftmals werden solche Downloads als harmlose Erweiterungen für Google Chrome oder als IPTV-Service-Apps getarnt, was Nutzer zu unüberlegten Installationen verleitet. Sicherheitsexperten raten dringend davon ab, Apps von unbekannten Websites oder aus nicht verifizierten Quellen herunterzuladen.

Kürzlich wurden Zusammenhänge zwischen Copybara-Malware-Angriffen und Finanzbetrug festgestellt, wobei die Malware mutmaßlich mit dem B4A-Framework (Basic4Android) entwickelt wurde. Die betrügerische App gibt sich als legitime Finanzanwendung aus und leitet die Opfer auf sorgfältig gestaltete Phishing-Seiten weiter, die gezielt Kryptowährungsbörsen und Finanzinstitutionen imitieren. Diese Seiten sind optisch den echten kaum zu unterscheiden und zielen darauf ab, Kontodetails und persönliche Informationen der Opfer zu erfassen oder Transaktionen umzuleiten.

Malware – wie Sie sich schützen können

Es ist essenziell, das Betriebssystem und alle installierten Apps stets auf dem neuesten Stand zu halten. Hersteller veröffentlichen regelmäßig Sicherheitsupdates, die bekannte Schwachstellen schließen. Durch das regelmäßige Installieren dieser Updates verringert sich das Risiko, dass Malware wie Copybara bekannte Sicherheitslücken ausnutzt.

Antivirussoftware für Android-Geräte bringt viele Vorteile mit sich. Zwar gelten Smartphones und Tablets von Herstellern wie Sony, Lenovo, HTC, Samsung oder Huawei als weniger anfällig für Viren und andere Schadsoftware im Vergleich zu Computern, doch stellen viele Websites und Apps dennoch Risiken dar. Insbesondere Anwendungen, die außerhalb des App Stores oder der offiziellen Herstellerseiten heruntergeladen werden, bergen oft unbemerkt Trojaner, Würmer und andere Malware. Durch den Einsatz geeigneter Antivirussoftware kann man diese Risiken jedoch erheblich reduzieren oder sogar vollständig eliminieren.

Das Nutzen öffentlicher WLAN-Netzwerke stellt ein erhebliches Sicherheitsrisiko dar, insbesondere wenn sensible Informationen wie Passwörter oder Bankdaten übermittelt werden. Es ist ratsam, in solchen Fällen auf eine sichere VPN-Verbindung zurückzugreifen oder auf öffentliche Netzwerke gänzlich zu verzichten.

Smishing und Vishing sind beliebte Methoden zur Verbreitung von Malware. Nutzer sollten stets misstrauisch gegenüber unerwarteten SMS- oder Anrufnachrichten sein, insbesondere wenn diese Links enthalten oder persönliche Informationen anfordern. Offizielle Institutionen und seriöse Unternehmen fragen niemals per SMS oder Telefon nach sensiblen Daten wie Passwörtern oder TANs.