ThreatFabric brachte Datzbro erstmals im August 2025 mit Social Engineering in Verbindung, nachdem Berichte aufgetaucht waren, dass Facebook-Gruppen in Australien "Reisen für Senioren" bewarben, die in Wirklichkeit Kanäle zur Opferrekrutierung waren. Ähnliche Betrugsversuche wurden auch in Singapur, Malaysia, Kanada, Südafrika und Großbritannien festgestellt.
Die Angreifer erstellen Facebook-Gruppen mit KI-generierten Beiträgen, die lokale Reisen für ältere Personen bewerben.
Wenn jemand Interesse zeigt, wird die Kommunikation auf Messenger oder WhatsApp verlagert, wo die Betrüger einen Link zum Herunterladen einer App senden, die angeblich zur Anmeldung für Reisen und Treffen dient. In Wirklichkeit laden die Nutzer eine APK-Datei mit Schadcode herunter, berichtet die Website Informacija.rs.
In einigen Fällen wird der Dienst Zombinder eingesetzt, um der Schadsoftware zu helfen, die in Android 13 und neueren Versionen eingeführten Sicherheitsmechanismen zu umgehen. Es gibt auch Hinweise darauf, dass Cyberkriminelle iOS-TestFlight-Köder entwickeln – ein Zeichen dafür, dass sie ihre Aktivitäten auf mehrere Plattformen ausweiten wollen.
Datzbro wird über Apps verbreitet, die harmlose Namen wie "Senior Group" und "Lively Years" tragen, sowie über Apps, die beliebte chinesische Anwendungen imitieren.
Wie funktioniert die Schadsoftware?
Nach der Installation fordert die Schadsoftware eine Vielzahl von Berechtigungen an und missbraucht die Accessibility Services, um Tasteneingaben, PINs und Codes aufzuzeichnen, Ton und Fotos aufzunehmen, Dateien und Cookies zu sammeln, transparente Überlagerungsbildschirme anzuzeigen, um ihre Aktivitäten zu verbergen, und Transaktionen ohne Wissen des Opfers durchzuführen.
Eine besondere Funktion ist die sogenannte "schematic remote control" – ein System, das das Bildschirm-Layout, die Position von Elementen und deren Inhalte aufzeichnet und an die Betreiber sendet. Dadurch können Angreifer die Benutzeroberfläche des Geräts rekonstruieren und es aus der Ferne steuern, als würden sie dem Nutzer über die Schulter schauen.
Datzbro sucht gezielt nach Banking- und digitalen Wallet-Apps. Er analysiert Protokolle und Texteingaben, um PINs, Passwörter und Einmalcodes zu erkennen. Außerdem kann er den Entsperr-PIN des Geräts stehlen und chinesische Zahlungs-Apps wie Alipay und WeChat kompromittieren.
Forscher fanden Hinweise darauf, dass hinter der Schadsoftware eine chinesischsprachige Gruppe steht.
Datzbro taucht zu einem Zeitpunkt auf, an dem mobile Banking-Malware stark zunimmt. Cyberkriminelle setzen zunehmend Social Engineering ein, um Opfer dazu zu bringen, Schadsoftware selbst zu installieren.
Das Auftreten von Datzbro unterstreicht die Notwendigkeit einer besseren Aufklärung der Nutzer (insbesondere älterer Menschen), einer strengeren Kontrolle der App-Verteilung, stärkerer Schutzmaßnahmen für Zugriffsrechte der Accessibility Services und des Vermeidens von Installationen außerhalb offizieller App-Stores – berichtet B92.
