Categories: CybersicherheitVirus

Android-Malware ahmt Anmeldebildschirme installierter Banking-Apps nach

Sicherheitsanbieter Fortinet hat vor einer neuen Malware gewarnt, die gezielt die Android-Nutzer unter den Kunden deutscher Banken angreift. Die Schadsoftware tarnt sich zunächst als E-Mail-App, um auf den Mobilgeräten installiert zu werden. Die Malware verfügt zudem über Funktionen, die eine Erkennung durch mobile Antivirenprogramme verhindern.

Beim ersten Start fordert sie dann die Rechte eines Geräteadministrators an. Werden ihr diese gewährt, verbirgt sie das Icon im App Drawer, kann das Passwort für den Sperrbildschirm ändern und das Gerät sperren. Und sie kann auch SMS senden und empfangen sowie Anrufe tätigen.

Vor allem aber wird ein Hintergrunddienst eingerichtet, der alle anderen laufenden Prozesse überwacht, darunter laut Fortinet auch von insgesamt 15 nicht näher genannten Banking-Apps. Wird eine davon gestartet, überlagert die Malware sie mit einem gefälschten Anmeldebildschirm. Geben Nutzer ihre Anmeldedaten dort ein, gelangen sie in die Hände der Kriminellen.

Der Hintergrunddienst sorgt zudem auch dafür, dass Sicherheitsanwendungen nicht mehr ausgeführt werden. Tippt der Nutzer auf das Symbol einer Antiviren-App, öffnet sich stattdessen der Startbildschirm. Dies funktioniert laut Fortinet mit 30 Antivirusprogrammen für Android, darunter Produkten von AVG, Cleanmaster, Dr. Web, Eset und Symantec (Norton).

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Neben den Anmeldedaten sammelt die Malware auch Informationen über das infizierte Smartphone, darunter die IMEI, die Android-Version und die Telefonnummer. Diese Daten werden verschlüsselt und an einen von den Hintermännern kontrollierten Server gesendet. Der kann Befehle an die Malware schicken, beispielsweise dass sie eine SMS versenden soll, auch mit gefälschter Absender-Telefonnummer, alle eingehenden Nachrichten abfängt oder das Passwort für den Sperrbildschirm ändert. So ließen sich auch unbefugt Überweisungen vornehmen, wenn das TAN-Verfahren auf dem mobilen Gerät genutzt wird.

Die Malware lässt sich erst entfernen, wenn in den Sicherheitseinstellungen der von ihr eingerichtete Geräte-Administrator deaktiviert wurde. Dann kann sie über die Android Debug Bridge (ADB) mit dem Befehl “adb uninstall [Paketname]” gelöscht werden. Dafür müssen jedoch die Entwicklereinstellungen und das Debugging per ADB aktiv und der für die Kommunikation mit einem PC benötigte Treiber installiert sein. Das dürfte aber in erster Linie bei technisch versierten Nutzern der Fall sein.

Bereits Anfang des Monats waren Kunden deutscher Banken ins Visier einer Malware geraten. Damals hatte Avast vor dem Banking-Trojaner GM Bot gewarnt. Die auch als Acecard, SlemBunk oder Bankosy bezeichnete Malware, basiert auf Open-Source-Code. Da der im Darknet erhältlich ist können Kriminelle schnell und vergleichsweise unkompliziert Schadprogramme erstellen und in Umlauf bringen.

Die Angriffe mit GM Bot zielten unter anderem auf Kunden von Sparkasse, Postbank, Commerzbank, Volksbank Raiffeisen und Deutscher Bank. Auch diese Android-Malware präsentiert auf dem Smartphone täuschend echt nachgebaute Log-in-Seiten. Werden dort für eine Transaktion Anmeldedaten eingegeben, übermittelt sie diese an die Kriminellen. Außerdem fängt auch GM Bot die per SMS versendete TAN ab. Damit haben die Hintermänner dann auch hier die Möglichkeit, Transaktionen zu ihren Gunsten vorzunehmen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Was ist denn heute überhaupt noch sicher???
    Ich habe kein internet banking - zu Recht, wie man sieht...
    Selbst paypal scheint mir nicht mehr sicher, von amazon mit seinen zig fake shops ganz zu schweigen!!!

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

21 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago