Banking Trojaner Wroba verbreitet sich über Text-Nachrichten

10. Februar, 2021
Banking Trojaner Wroba verbreitet sich über Text-Nachrichten

Ein Trojaner der sich durch Textnachrichten verbreitet, infiziert bestimmte Apps auf Mobiltelefonen. Betroffen sind sowohl iPhones als auch an Android Handys. Wroba gibt es schon seit 2010. Aber Ende Oktober 2020 wurden vermehrt Angriffe gegen Nutzer in den USA entdeckt. Bei den böswilligen Textnachrichten handelt es sich meistens um falsche Benachrichtigungen zur Paketzustellung oder der Paket-Nachverfolgung. Der Trojaner wird durch das Anklicken des Links in der Nachricht übertragen.

Wroba Trojaner von der Roaming Mantis Gruppe

Der Handy-Trojaner ist eine Malware der Hackergruppe Roaming Mantis. Die Hacker haben ursprünglich Handynutzer in den USA angegriffen, um Informationen und Finanzdaten auf Handys zu stehlen. In den bösartigen Textnachrichten werden gefälschten Benachrichtigungen für Paketzustellungen verschickt. Die SMS-Nachricht enthält einen Link und den Hinweis: „Ihr Paket wurde verschickt. Bitte testen und bestätigen Sie es.“

Je nachdem, welches Betriebsprogramm im jeweiligen Handy eingebaut ist, wird die entsprechende Malware ausgeführt. Ein Klick auf den Link führt Android-Nutzer zu einer bösartigen Website. Sie informiert Kunden dann darüber, dass ihr Browser veraltet sei und aktualisiert werden müssen. Sobald auf „OK“ geklickt wird, beginnt das Herunterladen eines trojanisierten Browserpakets.

Das funktioniert allerdings nicht auf iOS-Geräten. Die Wroba-Hacker haben dafür eine Alternative geschaffen und leiten die Nutzer zu einer Phishing-Website. Diese sieht aus wie eine Apple ID-Anmeldeseite und sammelt Anmeldeinformationen. An dieser Stelle wird der Trojaner aber noch nicht bereitgestellt.

Diese neueste Wroba-Version kann SMS-Nachrichten versenden und überprüfen, welche Apps auf dem Handy sind. Sie kann auch Webseiten öffnen, Datendateien im Zusammenhang mit Steuertransaktionen sammeln. Außerdem kann sie Kontakte anschreiben und falsche Phishing-Seiten ansteuern. So verbreitet Wroba sich weiter. Außerdem versteckt diese Wroba-Version sich lange auf einem einmal infizierten Handy und verursacht so langfristige Schäden und alle möglichen Zugangsdaten abzugreifen.

Wroba verbreitet sich weltweit

Der Wroba-Trojaner war aber nicht nur in den USA aktiv. Auch Handynutzer in China, Russland, Japan und anderen Ländern wurden schon angegriffen. Zunächst war er sehr aktiv im asiatisch-pazifischen Raum, bevor er vermehrt in den USA gesichtet wurde. 2018 hatte er bereits in Europa und im Mittleren Osten Fuß gefasst.

Avira-Forscher haben dieses Jahr zudem eine neue Wroba-Variante entdeckt. Zunächst war diese in Südkorea aktiv gewesen, bevor sie nach Japan überschwappte. In Japan versuchte der Trojaner Nutzer von japanischen Banking-Apps anzugreifen, indem er eine gefälschte Version des Chrome-Browsers anzeigt. Darüber verteilte der Trojaner seine Komponenten.

In einem Kommentar schrieb SANS Sicherheitsexperte William Hugh Murray, dass gegen Wroba alle üblichen Vorsichtsmaßnahmen helfen: grundsätzlich keine unbekannten Links anklicken. Bei Wroba-Attacken müssen Android-Nutzer sogar zweimal klicken – einmal in der Nachricht selbst und einmal, um die Malware zu installieren, schrieb Murry. Es sei weitaus schwieriger, iOS-Handys durch Anklicken von Link zu infizieren. iOS-Nutzer müssten sowohl auf die Nachricht selbst klicken und auch noch ihre Apple-Anmeldeinformationen eingeben. Dennoch, so Murry, sind Handys sicherer als sogenannte PCs und Laptops.

Artikel von darkreading.com, 30.10.2020: New Wroba Campaign Is Latest Sign of Growing Mobile Threats
Artikel von threatpost.com, 30.10.2020: Wroba Mobile Banking Trojan Spreads to the U.S. via Texts

 

Beitragsbild: Public Domain, Creative Commons CC0, von David Bruyland auf pixabay.com.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen