Alles über den Rotexy-Trojaner

Mobile Malware Rotexy, eine Mischung aus Ransomware-Blocker und Banking-Trojaner, weitet sich aus. Im August und September verzeichneten einige der Spezialisten über 40.000 Versuche, diese bösartige App in Android-Smartphones einzubetten. Obwohl einige der technischen Informationen und andere Details der Welt bekannt sind, werden wir ausführlich über die Infektion sprechen, zusammen mit der Lösung, um sie kostenlos loszuwerden.

Also lasst uns anfangen!

Wie funktioniert der Banking-Trojaner Rotexy?

Rotexy verwendet SMS mit einem Download-Link einer App mit ansprechendem Text, der die Leute auffordert, auf die Links zu klicken und die App herunterzuladen. Wenn die gesendete SMS von einer unbekannten Nummer stammt, wird sie ignoriert, wenn Sie jedoch eine solche SMS von der Nummer eines Freundes erhalten, klicken die Leute auf den Link.

Sobald das Gerät infiziert ist, bereitet der Trojaner die Struktur für den nächsten Schritt vor. Rotexy identifiziert zunächst, welches Gerät infiziert wurde, sodass es die Arbeit von Antivirus-Forschern behindern könnte. Wenn die Malware erkennt, dass sie in einem Emulator arbeitet, durchläuft sie wiederholt den App-Initialisierungsprozess.

Bevor der Trojaner zu arbeiten beginnt, prüft er, ob das Gerät die Grundvoraussetzungen erfüllt. Sobald dies erledigt ist, werden Administratorrechte angefordert. Wahrscheinlich wird der Benutzer keine Erlaubnis erteilen, aber die Popups werden wiederholt angezeigt und der Benutzer kann das Gerät nicht verwenden. Sobald die Berechtigung erteilt wurde, benachrichtigt Rotexy, dass die App nicht geladen wurde, und blendet das Symbol aus.

Im nächsten Schritt kontaktiert die Malware ihre Besitzer und liefert ihnen Informationen über das Smartphone. Im Gegenzug erhält es eine Anleitung sowie eine Sammlung von Texten und Vorlagen. Rotexy erreicht den C&C-Server, die Hacker haben sich jedoch andere Möglichkeiten ausgedacht, um Anweisungen zu senden, z. B. per SMS oder Google Cloud Messaging.

Rotexy der SMS-Dieb

Immer wenn eine Nachricht auf einem infizierten Smartphone eingeht. Malware schaltet den Silent-Modus auf dem Gerät ein, sodass das Opfer den Signalton der eingehenden SMS-Benachrichtigung nicht abhören kann. Sobald eine Nachricht empfangen wird, fängt es die SMS ab und vergleicht sie mit den vom C&C-Server empfangenen Vorlagen. Wenn irgendetwas Interessantes wie die letzten Ziffern einer Kartennummer aus einer Bankbenachrichtigung gefunden wird, dann behält es es und sendet es an den Server. Außerdem kann die Malware solche Nachrichten abfangen und beantworten: Vorlagen, die von Malware-Eigentümern gesendet werden, enthalten Bestätigungstexte, wenn sie benötigt werden.

Falls keine Vorlage oder Bestellung eingeht, speichert Rotexy die gesamte Kommunikation auf dem Gerät des Opfers und sendet sie an die Chefs. Wenn Cyberkriminelle dies wünschen, kann die Malware außerdem einen Link zum Herunterladen an alle Kontakte im Telefonbuch weiterleiten.

Lesen Sie auch: Insider-Informationen über Trojanisches Pferd

Rotexy – Banking-Trojaner

In erster Linie stiehlt die Malware Bankkartendaten, um ihren Besitzern maximalen Gewinn zu bieten. Dazu überlagert es eine Phishing-Webseite auf dem Bildschirm mit Text, der mit den SMS-Zwischenaufträgen empfangen wurde. Die Benutzeroberfläche und das Aussehen der Seite können jedes Mal anders sein, aber das Hauptziel besteht darin, den Besitzer des Smartphones darüber zu informieren, dass eine Geldüberweisung auf ihn wartet und er Kartendaten angeben muss, um sie zu erhalten.

Damit es echt aussieht, haben die Malware-Entwickler außerdem eine Prüfung in der Art und Weise, wie die Kartennummer überprüft wird. Es bestätigt, dass der Benutzer die richtige Kartennummer eingibt. Danach entlockt Rotexy der gespeicherten Banking-SMS die letzten vier Ziffern der Kartennummer und vergleicht sie mit denen, die der Benutzer auf der Phishing-Seite eingegeben hat.

Falls es nicht übereinstimmt, zeigt Malware einen Fehler an und fordert den Benutzer auf, die richtigen Kartendaten einzugeben.

Rotexy: Ransomware

Rotexy kann sich auch anders verhalten. Nun, es hängt von den Anweisungen ab, die es vom C&C-Server erhält. Anstatt die Phishing-Seite anzuzeigen, könnte sie den Bildschirm Ihres Smartphones mit einem bedrohlichen Fenster blockieren, in dem der Benutzer aufgefordert wird, eine Strafe für das „regelmäßige Ansehen verbotener Videos“ zu zahlen.

Es zeigt auch den fotografischen „Beweis“, der ein pornografischer Clip ist. Die Cyberkriminellen agieren als offizielle Organisation, Rotexy nutzt meist „FSB Internet Control“.

Wie wird man den Rotexy-Trojaner los?

Nachdem Sie all das gelesen haben, was Rotexy kann, müssen Sie darüber nachdenken, wie wir es loswerden könnten. Hoffentlich können Sie! Sie können Ihr infiziertes Smartphone entsperren. Wie bereits erwähnt, erhält Rotexy Bestellungen per SMS. Die SMS muss also nicht von einer bestimmten Nummer kommen, jede Telefonnummer oder jedes Gerät kann sie senden.

Wenn Ihr Telefon also blockiert ist, brauchen Sie nur das Telefon von jemandem und senden eine Anweisung. Sie müssen eine SMS mit dem Text „393838“ an Ihre Nummer senden.

Diese SMS bedeutet, dass es ein Befehl für Malware ist, die Adresse des C&C-Servers auf leer zu ändern, und dass sie auch aufhört, Cyberkriminellen zu gehorchen.

Senden Sie dann erneut einen Text mit „3458“ an Ihre Nummer – dies verhindert, dass der Trojaner mit Administratorrechten auf Ihr Gerät zugreift, und der Trojaner hat Ihr Gerät daher nicht mehr im Griff.

Die dritte SMS wäre ein Text „stop_blocker“: Diese Anweisung veranlasst Rotexy, die Website oder das Banner zu entfernen, die den Bildschirm blockieren.

Wenn der Trojaner nach Befolgen dieser Anweisungen erneut reagiert und nach Administratorrechten für Ihr Gerät fragt, starten Sie Ihr Smartphone im abgesicherten Modus neu. Gehen Sie nach dem Neustart des Geräts zu Anwendungen & Benachrichtigungen oder zum App-Manager und entfernen Sie die Malware von Ihrem Gerät.

Hinweis: Diese Methode funktioniert mit der aktuellen Version von Rotexy, funktioniert jedoch möglicherweise nicht mit zukünftigen Versionen.

Muss gelesen werden: TeleRAT: Ein neues Trojanisches Pferd, das Ihre Daten stiehlt

Anweisungen, um zu verhindern, dass Rotexy und andere Trojaner Ihr Gerät infizieren:

Der oben erwähnte Prozess ist ziemlich umständlich und könnte auch riskant sein. Nun, wenn Sie wachsam bleiben und sich um ein paar Dinge kümmern, müssen Sie sich dem vielleicht nicht ganz stellen.

Klicken Sie niemals auf verdächtige Links, auch nicht, wenn 1 Million Dollar versprochen werden.

Laden Sie Apps nur von Google Play herunter.

Installieren Sie immer ein vertrauenswürdiges mobiles Antivirenprogramm auf Ihrem Telefon, um es immer zu schützen.

Also, egal mit welcher Android-Version Sie arbeiten oder welche Software Sie installiert haben, ein Klick auf einen verdächtigen Link und Ihr Gerät, Ihre Bankdaten, alles wird gestohlen. Seien Sie vorsichtig und bleiben Sie immer wachsam!