Android-Malware FvncBot, SeedSnatcher und ClayRat: So greifen sie Ihr Mobilgerät an

  • FvncBot, SeedSnatcher und ClayRat nutzen Zugriffsrechte, SMS und Overlays aus, um nahezu die vollständige Kontrolle über mobile Geräte zu erlangen und Bank- und Kryptodaten zu stehlen.
  • Sie werden über Smishing, Telegram, Drittanbieter-Shops und Phishing-Websites verbreitet, die beliebte Apps und Finanzdienstleistungen imitieren.
  • Sie nutzen ausgefeilte Verschleierungstechniken (apk0day, dynamisches Laden, Stealth-WebView, FCM, WebSocket), um einer Entdeckung zu entgehen.
  • Der beste Schutz besteht darin, nur Installationen aus offiziellen Quellen vorzunehmen, Berechtigungen zu überwachen, Android stets auf dem neuesten Stand zu halten und gegebenenfalls 2FA und MDM anzuwenden.
Joaquin Romero

17 Minuten

Wie Malware Ihr Android-Gerät angreift

Wenn Sie täglich ein Android-Telefon benutzen für Online-Banking, soziale Netzwerke oder criptomonedasSie sollten das Folgende sehr ernst nehmen. In den letzten Monaten sind mehrere hochentwickelte Malware-Familien aufgetaucht – FvncBot, SeedSnatcher und eine verbesserte Version von ClayRat –, die mobile Angriffe auf eine neue Ebene heben, indem sie Social Engineering, Fernsteuerung von Geräten und den massenhaften Diebstahl sensibler Daten kombinieren.

Im Gegensatz zu jenen Viren, die lediglich lästige Werbung einblendeten, sind diese Trojaner dazu fähig, Sie übernehmen nahezu die vollständige Kontrolle über das Telefon, leeren Krypto-Wallets, stehlen Bankdaten und spionieren das Opfer aus. Sie sind so ausgefeilt wie viele Desktop-Angriffe (oder sogar noch raffinierter). Wir werden detailliert und anschaulich sehen, wie sie funktionieren, welche Techniken sie gemeinsam haben und was Sie tun können, um zu verhindern, dass Ihr Mobiltelefon zum Werkzeug von Angreifern wird.

Eine zunehmend aggressive mobile Bedrohungslandschaft

Das Android-Ökosystem ist gigantisch, mit Milliarden von Geräten, die es verwalten. Zahlungen, Zwei-Faktor-Authentifizierung, private Kommunikation und Zugriff auf UnternehmenssystemeDiese Allgegenwart hat Android zu einem bevorzugten Ziel für kriminelle Banden, Finanzbetrüger und APT-Gruppen mit möglicher staatlicher Unterstützung gemacht.

Sicherheitslabore wie Intel 471, CYFIRMA und Zimperium haben dies dokumentiert. beschleunigte Entwicklung von Android-MalwareDer Fokus liegt dabei nicht mehr ausschließlich auf Privatanwendern. Immer häufiger zielen Kampagnen auf Mitarbeiter von Unternehmen, Profile mit privilegiertem Zugriff oder Nutzer ab, die große Geldsummen im Bankwesen und mit Kryptowährungen verwalten.

In diesem Zusammenhang haben drei bestimmte Familien an Bedeutung gewonnen: FvncBot, SeedSnatcher und ClayRatJeder von ihnen ist auf einen bestimmten Bereich spezialisiert (traditionelles Bankwesen, Kryptowährungen oder anhaltende Spionage), aber sie alle verfolgen einen gemeinsamen Ansatz: unentdeckt zu bleiben, legitime Android-Funktionen auszunutzen – insbesondere Barrierefreiheits- und Bildschirmüberlagerungen – und so viele Informationen wie möglich exfiltrieren und dabei die Kontrolle über das Gerät behalten..

Die Angreifer haben den Einsatz von Verschleierte Dropper-Apps, Verschlüsselungsdienste wie apk0day, Messenger-Dienste wie Telegram und hochprofessionelle Phishing-Domains Diese Apps imitieren beliebte Websites und Anwendungen (YouTube, WhatsApp, Taxi-Apps, Krypto-Wallets usw.) perfekt. Für den Durchschnittsnutzer wird es immer schwieriger, eine legitime von einer manipulierten App zu unterscheiden.

Was ist SpyLend und wie funktioniert es?
Verwandte Artikel:
SpyLend: Android-Malware, die Ihre Daten stiehlt und ihre Opfer erpresst

FvncBot: Banking-Trojaner mit VNC-Fernsteuerung

FvncBot ist ein Banking-Trojaner und RAT für Android von Grund auf neu entwickeltohne Wiederverwendung von Code, der von anderer Malware wie ERMAC stammt. Die wichtigste öffentliche Kampagne konzentriert sich auf Nutzer des mobilen Bankings mBank in Polen, wo sie sich als vermeintliche offizielle Sicherheitsanwendung der Bank ausgibt.

Die betrügerische Anwendung fungiert als Der Dropper ist durch einen Verschlüsselungs-/Verschleierungsdienst namens apk0day geschützt, der von Golden Crypt angeboten wird.Dieser Dienst verpackt den Code so, dass statische Analysen und die Erkennung von Signaturen deutlich erschwert werden. Beim Öffnen der App erscheint eine Benachrichtigung, die den Nutzer zur Installation einer vermeintlichen „Google Play-Komponente“ auffordert, die die Systemstabilität oder -sicherheit verbessern soll.

Genau genommen ist diese Komponente die FvncBot-NutzlastDie Schadsoftware nutzt einen sitzungsbasierten Ansatz, um die Beschränkungen zu umgehen, die Android 13 und spätere Versionen für die Nutzung von Bedienungshilfen durch Apps außerhalb des Google Play Stores auferlegen. Dadurch gelingt es ihr selbst auf aktuellen Systemversionen, die benötigten Berechtigungen zu aktivieren, um nahezu alles auf dem Gerät einzusehen und zu steuern.

Nach der Installation fordert FvncBot den Benutzer zur Zustimmung auf. Berechtigungen für BarrierefreiheitsdiensteWenn das Opfer zustimmt, erhält der Trojaner sehr hohe Berechtigungen: Er kann lesen, was auf dem Bildschirm erscheint, erkennen, welche Anwendungen geöffnet sind, Berührungen und Gesten simulieren, Fenster über anderen Apps anzeigen und Tippen auf sensible Formulare aufzeichnen, wie z. B. Bank-Logins oder Zahlungsdienste.

Während seiner Ausführung sendet die Malware Protokollereignisse an einen Remote-Server unter der Domain naleymilva.it.comDie analysierten Samples wiesen eine Build-Kennung „call_pl“ auf, was auf Polen als Zielland hinweist, sowie eine als „1.0-P“ konfigurierte Version, was darauf schließen lässt, dass es sich um eine Familie handelt, die sich noch in einem frühen Entwicklungsstadium befindet und daher noch Raum für die Hinzufügung weiterer Funktionen bietet.

Nach der Registrierung des Geräts verbindet sich FvncBot mit seiner Kommando- und Kontrollinfrastruktur mithilfe von HTTP und der Firebase Cloud Messaging (FCM)-DienstÜber diese Kanäle empfängt es Befehle in Echtzeit und kann sein Verhalten spontan anpassen, indem es Module je nach Art des Opfers oder der jeweiligen Kampagne aktiviert oder deaktiviert.

Zwischen den capacidades Folgendes wurde dokumentiert:

  • Kapazität für WebSocket-Verbindungen, die die Fernsteuerung des Geräts ermöglichen, initiieren oder beenden.durch Wischen, Tippen, Scrollen oder Öffnen von Anwendungen, als ob der Angreifer das Mobiltelefon in der Hand hielte.
  • Exfiltration von Barrierefreiheitsereignisse, Liste der installierten Apps und Geräteinformationen (Modell, Android-Version, Bot-Konfiguration usw.).
  • Empfangen spezifischer Konfigurationen für Schädliche Vollbild-Overlays auf ausgewählten Apps anzeigenIm Allgemeinen handelt es sich dabei um Bank- oder Zahlungsanwendungen.
  • Diese Überschneidungen werden im richtigen Moment verborgen, sodass das Opfer das seltsame Verhalten kaum wahrnimmt.
  • Missbrauch von Barrierefreiheitsdiensten für Tastatureingaben und in wichtige Formulare eingegebene Daten aufzeichnen.
  • API-Nutzung MediaProjection zur Echtzeitübertragung von BildschirminhaltenDies ermöglicht es Angreifern, genau zu sehen, was der Benutzer tut, selbst in Apps, die Screenshots mit dem Flag FLAG_SECURE blockieren.

Möglichkeiten, Ihr Android-Gerät vor den verschiedenen Arten von Malware zu schützen

Darüber hinaus verfügt FvncBot über einen „Textmodus“, der es ihm ermöglicht, Analysiere das Design und den sichtbaren Inhalt der Benutzeroberfläche auch dann, wenn herkömmliche Aufnahmen nicht möglich sind.Dies ermöglicht es Ihnen, Eingabefelder, Schaltflächen und Sicherheitsmeldungen in speziell geschützten Anwendungen zu überprüfen.

Es gibt derzeit keine öffentliche Bestätigung der primären Verbreitungsmethode, aber aufgrund von Ähnlichkeiten mit anderen Banking-Trojaner-Familien ist es sehr wahrscheinlich, dass sie auf … basiert. Smishing-Kampagnen (Phishing-SMS), über Instant Messaging versendete Links und App-Stores von Drittanbietern wo bösartige Klone bekannter Apps oder gefälschte Sicherheitstools hochgeladen werden.

Obwohl die aktuelle Konfiguration darauf ausgerichtet ist Polnischer mBank-NutzerDank des modularen Aufbaus von FvncBot können Angreifer Sprache, Logos und Overlay-Vorlagen problemlos anpassen und sogar Banken gezielt angreifen. Es wäre daher nicht überraschend, wenn sich die Software innerhalb kurzer Zeit auf Kampagnen in anderen Ländern oder gegen andere Banken ausweiten würde.

SeedSnatcher: Diebstahl von Seed-Phrasen und 2FA-Codes

Wenn FvncBot seinen Fokus auf das traditionelle Bankwesen richtet, SeedSnatcher zielt direkt auf das Krypto-Ökosystem ab.Dies ist ein Infostealer für Android, der entwickelt wurde, um Wallet-Seed-Phrasen, private Schlüssel und alle Informationen zu stehlen, die die Kontrolle über Kryptowährungs-Wallets ermöglichen, sowie andere sensible Daten vom Gerät.

SeedSnatcher wird hauptsächlich über folgende Kanäle vertrieben: Telegram und andere soziale Kanäle, getarnt unter dem Namen „Coin“ oder andere Namen, die auf Anlagewerkzeuge, Apps zur Kryptowährungsverwaltung oder den Zugang zu exklusiven Angeboten hindeuten. Die Angreifer verbreiten Links zu vermeintlich legitimen APKs in öffentlichen und privaten Gruppen, die sich mit Trading, NFTs oder Blockchain-Nachrichten befassen.

Die schädliche Anwendung ist so konzipiert, dass sie beim Start keinen Verdacht erregt: normalerweise Es verlangt bei der Installation nur sehr wenige Berechtigungen, insbesondere den Zugriff auf SMS oder scheinbar harmlose Optionen.Dieser Ansatz hilft dabei, Sicherheitslösungen zu umgehen, die bereits beim ersten Systemstart auf massive Berechtigungsanfragen hinweisen.

Doch hinter den Kulissen beginnt SeedSnatcher, sein Arsenal einzusetzen. Die Entwickler haben Techniken wie beispielsweise … integriert. Dynamisches Laden von Klassen und unauffällige Inhaltseinfügung in WebViewDadurch kann die App zusätzliche Module vom Command-and-Control-Server herunterladen, sich selbst dynamisch modifizieren und Funktionen nur dann aktivieren, wenn sie erkennt, dass das Opfer bestimmte Anwendungen im Zusammenhang mit Kryptowährungen öffnet.

Eine seiner gefährlichsten Fähigkeiten ist die Erzeugung von extrem überzeugende Phishing-Overlays Diese Betrugsmaschen imitieren das Aussehen bekannter Krypto-Wallets, Börsen oder Kontowiederherstellungsseiten. Der Nutzer glaubt, seine Wallet wiederherzustellen oder seine Identität zu bestätigen, gibt aber in Wirklichkeit seine Seed-Phrase oder seinen privaten Schlüssel an die Angreifer weiter.

Zusätzlich zu Wiederherstellungssamen kann SeedSnatcher auch Eingehende SMS-Nachrichten abfangen, um Zwei-Faktor-Authentifizierungscodes (2FA) zu erfassen.Dies erleichtert die Übernahme von Konten bei Börsendiensten, Handelsplattformen oder auch anderen Diensten, die noch SMS als zweiten Faktor verwenden.

Die Schadsoftware ist außerdem vorbereitet für Umfangreiche Informationen vom Gerät exfiltrieren: Kontakte, Anruflisten, lokale Dateien und andere relevante Daten. die in zukünftigen Betrugs-, Erpressungs- oder Untergrund-Verkaufskampagnen wiederverwendet werden können.

Untersuchungen von CYFIRMA deuten darauf hin, dass die Betreiber von SeedSnatcher … Gruppen mit Sitz in China oder chinesischsprachigen, basierend auf Anweisungen und Dokumentationen in dieser Sprache, die sowohl im Bedienfeld des Diebes als auch in über Telegram ausgetauschten Nachrichten vorhanden sind.

Das Muster der Rechteausweitung von SeedSnatcher ist sehr kalkuliert: Es beginnt mit Mindestgenehmigungen Um unentdeckt zu bleiben, fordert es später Zugriff auf den Dateimanager, die Anzeige von Overlays, das Lesen von Kontakten, das Anzeigen von Anruflisten und andere wichtige Ressourcen an. Jede Anfrage wird so getarnt, als sei sie für eine legitime Funktion notwendig, wodurch die Wahrscheinlichkeit, dass der Benutzer Verdacht schöpft, verringert wird.

Google-Sicherheit
Verwandte Artikel:
Google durchsucht täglich 6.000 Milliarden Android-Apps nach Malware

Die Kombination aus visueller Täuschung, SMS-Diebstahl, potenzieller Überwachung der Zwischenablage und stiller Datenexfiltration macht SeedSnatcher zu einem Eine ernsthafte Bedrohung für jeden, der Kryptowährungen über sein Mobilgerät verwaltet.insbesondere nicht-verwahrende Wallets, die auf Seed-Phrasen basieren und es dem Angreifer nach ihrer Kompromittierung ermöglichen, die Gelder ohne Möglichkeit der Wiederherstellung abzuheben.

ClayRat: Modulare Spyware und nahezu vollständige Gerätekontrolle

ClayRat ist ein Modulare Spyware für Android, die sich rasant weiterentwickelt hat Bis es zu einem der gefährlichsten mobilen Überwachungswerkzeuge der Gegenwart wurde. Ursprünglich war es auf bestimmte Märkte (insbesondere russische Nutzer) ausgerichtet, doch neuere Varianten zeigen einen qualitativen Sprung in Bezug auf Leistungsfähigkeit, Ausdauer und geografische Reichweite.

Seine Verteilung basiert auf einer Mischung aus Kampagnen in Telegram und sorgfältig gestaltete Phishing-Websites Diese Webseiten geben sich als bekannte Dienste aus. Sie bewerben beliebte Apps – wie WhatsApp, Google Fotos, TikTok oder YouTube – und zeigen gefälschte Rezensionen, positive Bewertungen und aufgeblähte Downloadzahlen an, um den Eindruck von Legitimität zu verstärken.

Was der Benutzer tatsächlich herunterlädt, ist in der Regel nicht die Spyware selbst, sondern eine Leichtgewichtiger Dropper, der versteckte und verschlüsselte Malware enthältDieser Dropper kann sich als einfache Video-App, vermeintlich erweiterter Client oder nützliches Tool tarnen. Nach der Installation entschlüsselt er die Schadsoftware und setzt sie frei, wodurch einige Systemsicherheitskontrollen umgangen werden.

Forschungen von Zimperium zLabs und anderen Teams haben ergeben, dass ClayRat Es missbraucht die Barrierefreiheitsdienste und die standardmäßigen SMS-Berechtigungen in doppelter Hinsicht.Da es zur Standard-SMS-App wird, kann es Nachrichten lesen, schreiben und senden, ohne dass der Benutzer davon weiß, 2FA-Codes abfangen, Konversationen manipulieren und diese als Vektor zur Verbreitung der Infektion nutzen.

Die neuesten Versionen beinhalten eine Vielzahl von Funktionen. Repertoire mit erweiterten Funktionen:

  • Tastaturaufzeichnung, Screenshots und VollbildaufzeichnungDadurch wird die Rekonstruktion von praktisch allem ermöglicht, was das Opfer tut.
  • Zugang zu Anrufe, Benachrichtigungen, Verlauf, Fotos der Frontkamera und andere private Daten, mit der Möglichkeit, sie auf den Kommando- und Kontrollserver hochzuladen.
  • Kapazität für Machen Sie Fotos mit der Frontkamera und schleusen Sie sie unbemerkt ab., etwas besonders Übergriffiges, da es direkt auf das Gesicht des Opfers gerichtet ist.
  • Bereitstellung von Overlays, die Systemaktualisierungen, schwarze Bildschirme oder Wartungsmeldungen simulieren., wird verwendet, um schädliche Aktivitäten zu verschleiern, während Angreifer das Gerät im Hintergrund bedienen.
  • Generation von gefälschte interaktive Benachrichtigungen die scheinbar vom System oder von legitimen Apps stammen und dazu dienen, Antworten, Codes und Tastatureingaben zu sammeln.

Ein besonders beunruhigender Aspekt ist ClayRats Fähigkeit, Das Gerät entsperrt sich automatisch, auch wenn Sie eine PIN, ein Passwort oder ein Entsperrmuster verwenden.Durch die Kombination von Zugänglichkeit, Bildschirm-Layout-Erkennung und Gestenautomatisierung gelingt es der Malware, den Sperrbildschirm zu umgehen und das Mobiltelefon ohne Benutzerinteraktion zu bedienen.

Zusätzlich zur Spionagefunktion verwandelt ClayRat jeden infizierten Computer in einen automatisierter VerteilungsknotenMan kann SMS mit schädlichen Links an auf dem Telefon gespeicherte Kontakte senden und dabei das Vertrauen in Nachrichten von bekannten Nummern ausnutzen. Dies ermöglicht eine schnelle und weite Verbreitung, ohne dass Angreifer über eine umfangreiche zusätzliche Infrastruktur verfügen müssen.

Die Verwendung von mindestens 25 Phishing-Domains, die legitime Dienste wie YouTube imitieren.Es wird eine vermeintliche „Pro“-Version mit Hintergrundwiedergabe und 4K-HDR-Unterstützung angeboten. Außerdem wurden sogenannte Dropper-Apps entdeckt, die sich als die offizielle App ausgeben. Russische Taxi- und Park-Apps, indem Namen, Symbole und Beschreibungen kopiert werden, um lokale Nutzer zu täuschen.

Die Erweiterung der Fähigkeiten von ClayRat – von der einfachen Datenexfiltration bis hin zur vollständige Geräteübernahme mit permanenten Overlays und automatischer Entsperrung— was diese neueste Variante noch gefährlicher macht als die vorherigen, bei denen zumindest die Möglichkeit bestand, dass das Opfer verdächtige Aktivitäten bemerkte, die App deinstallierte oder das Mobiltelefon rechtzeitig ausschaltete.

Gängige Techniken: Barrierefreiheit, Overlays und fortgeschrittene Ausweichtechniken

Obwohl FvncBot, SeedSnatcher und ClayRat etwas unterschiedliche Ziele verfolgen, basieren sie alle auf einer Reihe von gemeinsame Taktiken und Techniken, die erklären, warum sie so erfolgreich sind in realen Wahlkämpfen.

Erstens hebt es die systematischer Missbrauch von Android-BarrierefreiheitsdienstenDiese Funktionalität wurde entwickelt, um behinderten Nutzern die Interaktion mit dem Gerät zu erleichtern. Wird sie jedoch missbraucht, ermöglicht sie Angreifern, die Bildschirminhalte zu lesen, Änderungen in der Benutzeroberfläche zu erkennen, Gesten zu automatisieren und praktisch das Mobiltelefon so zu steuern, als wäre es ihr eigenes.

Die zweite Säule ist die Overlays, die legitime Vollbild- oder Teilbildschnittstellen ersetzenIndem Angreifer eine gefälschte Benutzeroberfläche über eine echte Anwendung legen – sei es eine Bank-App, eine Krypto-Wallet oder ein beliebter Dienst –, erfassen sie Zugangsdaten, persönliche Daten, Kartennummern oder Sicherheitsphrasen, ohne die Originalanwendung kompromittieren zu müssen. Der Nutzer glaubt, die gewohnte Anwendung zu verwenden, tippt aber in Wirklichkeit auf einem Bildschirm, der von der Schadsoftware kontrolliert wird.

Drittens greifen diese Familien auf Folgendes zurück: hochentwickelte AusweichtechnikenCodeverschleierung und -verschlüsselung mithilfe von Diensten wie apk0day, dynamisches Laden von Klassen, die nur bei Bedarf heruntergeladen werden, stilles Einfügen von Inhalten in WebView und Verwendung von auf Ganzzahlen basierenden Befehlsanweisungen, um den Datenverkehr für Überwachungssysteme weniger offensichtlich erscheinen zu lassen.

Die Kommunikation mit den Kommando- und Kontrollservern ist ebenfalls ausgefeilter geworden. Viele dieser Trojaner verwenden Firebase Cloud Messaging für den Empfang von Bestellungen, WebSocket-Verbindungen für die Echtzeitsteuerung und Datenexfiltration über HTTP oder HTTPS.und vermischt seinen schädlichen Datenverkehr mit dem legitimen Datenverkehr anderer Anwendungen, was seine Erkennung in Unternehmens- und Heimnetzwerken erschwert.

All das oben Genannte wird ergänzt durch ein sehr sorgfältige Social-Engineering-ArbeitAngreifer erstellen Apps, die Google Play-Komponenten, Sicherheitstools, offizielle Banking-Apps, „Pro“-Versionen bekannter Plattformen oder beliebte Dienste wie Taxis, Parkdienste und digitale Geldbörsen imitieren. Ziel ist es, die Nutzer so weit zu täuschen, dass sie kritische Installationen und Berechtigungen fast gedankenlos akzeptieren.

Wie kann Ihr Android-Gerät infiziert werden und was sind die Anzeichen einer möglichen Kompromittierung?

Trotz aller dahinterstehenden Technologien ist der Ausgangspunkt in der Regel immer derselbe: den Benutzer dazu zu bewegen, eine APK-Datei manuell zu installieren oder gefährliche Berechtigungen zu erteilen.Hierfür greifen sie auf Smishing-Nachrichten, Social-Media-Kampagnen, Foren, Telegram-Gruppen oder Seiten zurück, die unwiderstehliche Vorteile versprechen (kostenlose kostenpflichtige Apps, werbefreie Versionen, Investitionsmöglichkeiten usw.).

Sobald das Opfer von dem Versprechen geblendet ist, Laden Sie die APK-Datei von einer inoffiziellen Quelle herunter.Drücken Sie auf „Installieren“ und dann Akzeptiert Berechtigungen für Barrierefreiheit, SMS-Zugriff, Overlays und die Standard-App-Rolle für bestimmte Dienste (wie z. B. Messaging). Von da an geht ein Großteil der Kontrolle in die Hände der Schadsoftware über, die versucht, unbemerkt zu agieren, um keinen Verdacht zu erregen.

Dennoch gibt es eine Reihe von Indikatoren für das Engagement, die überwacht werden sollten:

  • Ungewöhnlich hoher Akkuverbrauch und Überhitzung des Mobiltelefons ohne erkennbare intensive Nutzung.
  • Deutlicher Anstieg des mobilen oder WLAN-Datenverkehrs ohne klare Erklärung.
  • Aussehen von Apps, an deren Installation Sie sich nicht erinnern oder Änderungen an den Standard-SMS-, Banking- oder Messaging-Apps.
  • Unerwartete Abschaltungen, Abstürze oder ungewöhnliches Verhalten bei wichtigen Anwendungen wie Banking-Apps, Wallets, Social-Media-Apps oder Messenger-Diensten.
  • Ungewöhnliche Berechtigungsdialoge, insbesondere solche, die sich auf Barrierefreiheit, SMS oder Geräteverwaltung beziehen.
  • Warnmeldungen bei verdächtigen Anmeldeversuchen oder ungewöhnlichen Standortänderungen Ihrer Cloud-Konten, Krypto-Dienste oder Ihres Online-Bankings.

Wenn Sie mehrere dieser Symptome bemerken, ist eine ärztliche Untersuchung ratsam. vollständiger Scan mit einem Vertrauenswürdige mobile SicherheitslösungÜberprüfen Sie manuell die Liste der installierten Anwendungen (einschließlich solcher mit generischen Symbolen oder ungewöhnlichen Namen) und ziehen Sie im Ernstfall einen Werksreset in Betracht, nachdem Sie nur die wichtigsten Daten gesichert haben.

Empfohlene Vorgehensweisen zum Schutz Ihres Mobiltelefons vor FvncBot, SeedSnatcher und ClayRat

Android-Malware

Der beste Schutz gegen diese Bedrohungen vereint Technologie und gesunden Menschenverstand. Auf Benutzerebene gibt es eine Reihe von grundlegende Richtlinien für digitale Hygiene wodurch die Wahrscheinlichkeit einer Infektion durch FvncBot, SeedSnatcher, ClayRat oder ähnliche Viren drastisch reduziert wird.

Die goldene Regel ist klar: Installieren Sie Apps ausschließlich von Google Play oder den offiziellen Webseiten der Anbieter.Das Herunterladen von APKs über Links, die man per SMS, E-Mail, über soziale Medien, Telegram-Kanäle oder sogenannte „Wunder“-Downloadseiten erhält, ist heutzutage einer der Haupteinstiegspunkte für mobile Schadsoftware.

Es ist außerdem wichtig, sich ein paar Sekunden Zeit zu nehmen, Prüfen Sie die von jeder App angeforderten Berechtigungen, bevor Sie diese akzeptieren.Seien Sie misstrauisch, wenn eine App, die angeblich Videos abspielen, Musik hören oder das Wetter abrufen soll, vollen Zugriff auf SMS, Bedienungshilfen, Kontakte oder die Geräteverwaltung anfordert. Viele Angriffe basieren darauf, dass Nutzer auf „Akzeptieren“ klicken, ohne die Nutzungsbedingungen zu lesen.

Eine weitere grundlegende Ebene ist die Aufrechterhaltung Android, Apps und Sicherheitslösungen immer auf dem neuesten StandHersteller und Google veröffentlichen regelmäßig Patches, um Sicherheitslücken zu schließen, die diese Trojaner ausnutzen. Automatische Updates zu aktivieren und diese regelmäßig zu überprüfen, ist ein minimaler Zeitaufwand mit einem enormen Sicherheitsgewinn.

Bezüglich Konten und Zugangsdaten empfiehlt sich die Verwendung von Starke und unterschiedliche Passwörter für jeden DienstSpeichern Sie diese Schlüssel in einem zuverlässigen Passwortmanager und aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung. Es ist jedoch ratsam, 2FA-Methoden mit Authentifizierungs-Apps oder physischen Schlüsseln anstelle von SMS zu verwenden, da viele mobile Schadprogramme darauf spezialisiert sind, Nachrichten abzufangen.

Für diejenigen, die größere Mengen an Kryptowährungen verwalten, ist es ratsam, ... Seed-Phrasen und private Schlüssel werden auf einem herkömmlichen Android-Gerät weder generiert noch gespeichert.Die Verwendung von Hardware-Wallets oder speziellen Geräten minimiert die Auswirkungen eines Infosteals wie SeedSnatcher auf das mobile Hauptgerät.

In Unternehmensumgebungen sollten sich Organisationen auf Folgendes verlassen: Lösungen zur Verwaltung mobiler Geräte (MDM) Um zu kontrollieren, welche Apps installiert werden dürfen, Verschlüsselungsrichtlinien durchzusetzen, berufliche und private Profile zu trennen und Anzeichen für eine Kompromittierung zu überwachen, ist die kontinuierliche Schulung der Mitarbeiter zu mobilem Phishing, verdächtigen Links und ungewöhnlichen Berechtigungsabfragen genauso wichtig wie jede technische Lösung.

Der Aufstieg von FvncBot, SeedSnatcher und dem neuen ClayRat beweist, dass Der Schwerpunkt der Cyberkriminalität hat sich deutlich in Richtung mobiler Geräte verlagert.Zu verstehen, wie sie funktionieren, welche Berechtigungen sie missbrauchen und warum ihre Kampagnen so überzeugend sind, trägt dazu bei, das Bewusstsein dafür zu schärfen, dass das Smartphone kein relativ sicheres "Spielzeug" mehr ist, sondern das wertvollste Glied in unserem digitalen Leben.

Methoden zum Schutz Ihres Fire TV vor Viren und Malware
Verwandte Artikel:
So schützen Sie Fire TV und Google TV vor Viren und Malware

Die Annahme einfacher Gewohnheiten – nur Apps aus vertrauenswürdigen Quellen verwenden, bei Links und Berechtigungen vorsichtig sein, das System auf dem neuesten Stand halten und aktive mobile Sicherheitsmaßnahmen nutzen – macht den Unterschied aus, ob man sein Mobiltelefon weiterhin unbesorgt nutzen kann oder ob es zu einem Werkzeug im Dienste von Angreifern wird. Teilen Sie diese Informationen, damit mehr Menschen etwas über die verschiedenen Arten von Android-Malware erfahren können.


Folgen Sie uns auf Google News