Was am PC bei Antivirensoftware funktioniert, wird auch auf Android übertragen. Damit bösartige Apps nicht vom Google oder auf dem Smartphone entdeckt werden, überprüfen sie, ob der Motion-Sensor verwendet wird oder nicht. Wenn der Nutzer sich bewegt, generiert der Motion Sensor viele Daten. Wenn nicht, ist es wahrscheinlich, dass die App in einem Emulator / einer Sandboxumgebung ausgeführt wird.
Zwei Apps, Currency Converter und BatterySaverMobi, aus dem Google Play Store wurden vor kurzem entdeckt, die den Payload, der sicher dem Anubis Banking Malware zugeordnet werden kann, nur aktivieren, wenn Bewegung gefunden wurde. Sowohl der Code ist ähnlich zu bekannten Anubis Samples als auch der Command & Control Server der Domain aserogeege.space gehört zu Anubis. Commands werden über Telegram und Twitter Requests und Responses geschickt. Zunächst registriert sich die Malware beim C&C Server und fragt nach weiteren Kommandos über einen HTTP POST Request. Falls der Server mit dem apk-Command ( ::apk:: ) und der Download-URL antwortet, wird der Anubis Payload im Hintergrund gedroppt. Der Dropper versucht nun den Nutzer zu verleiten eine App, die Payload APK (Android-Apps haben das Paketformat APK) zu installieren, beispielsweise mit einem gefälschten Systemupdate. Über den Command kill kann die Ausführung des bösartigen Code gestoppt werden.
Normalerweise verwenden Banking-Trojaner einen gefälschten Overlay-Screen, um an die Bankdaten des Nutzers zu gelangen. Anubis hat hingegen einen Keylogger, der durch das Logging alle Benutzerdaten stiehlt. Alternativ kann der Trojaner auch Screenshots anfertigen. Durch die gesammelten Daten kann Anubis u.a. auch Anrufe tätigen, SMS senden und externen Speicher löschen. Bestimmte Versionen von Anubis sind sogar Ransomware. Interessanterweise schalten sie den AccessibilityService an, beispielsweise über eine als Google Play Protect getarnte App, um anschließend alle möglichen Rechte zu aktivieren und Daten abzugreifen ohne dass es der Nutzer mitbekommt.
Quellen:
https://blog.trendmicro.com/trendla...ing-malware-use-motion-based-evasion-tactics/
https://arstechnica.com/information...used-phones-motion-sensors-to-conceal-itself/
https://blogs.quickheal.com/android...king-trojan-keylogger-ransomware-one-package/
https://securityintelligence.com/an...inues-to-plague-users-in-official-app-stores/