Categories: CybersicherheitVirus

Android-Malware ahmt Anmeldebildschirme installierter Banking-Apps nach

Sicherheitsanbieter Fortinet hat vor einer neuen Malware gewarnt, die gezielt die Android-Nutzer unter den Kunden deutscher Banken angreift. Die Schadsoftware tarnt sich zunächst als E-Mail-App, um auf den Mobilgeräten installiert zu werden. Die Malware verfügt zudem über Funktionen, die eine Erkennung durch mobile Antivirenprogramme verhindern.

Beim ersten Start fordert sie dann die Rechte eines Geräteadministrators an. Werden ihr diese gewährt, verbirgt sie das Icon im App Drawer, kann das Passwort für den Sperrbildschirm ändern und das Gerät sperren. Und sie kann auch SMS senden und empfangen sowie Anrufe tätigen.

Vor allem aber wird ein Hintergrunddienst eingerichtet, der alle anderen laufenden Prozesse überwacht, darunter laut Fortinet auch von insgesamt 15 nicht näher genannten Banking-Apps. Wird eine davon gestartet, überlagert die Malware sie mit einem gefälschten Anmeldebildschirm. Geben Nutzer ihre Anmeldedaten dort ein, gelangen sie in die Hände der Kriminellen.

Der Hintergrunddienst sorgt zudem auch dafür, dass Sicherheitsanwendungen nicht mehr ausgeführt werden. Tippt der Nutzer auf das Symbol einer Antiviren-App, öffnet sich stattdessen der Startbildschirm. Dies funktioniert laut Fortinet mit 30 Antivirusprogrammen für Android, darunter Produkten von AVG, Cleanmaster, Dr. Web, Eset und Symantec (Norton).

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Neben den Anmeldedaten sammelt die Malware auch Informationen über das infizierte Smartphone, darunter die IMEI, die Android-Version und die Telefonnummer. Diese Daten werden verschlüsselt und an einen von den Hintermännern kontrollierten Server gesendet. Der kann Befehle an die Malware schicken, beispielsweise dass sie eine SMS versenden soll, auch mit gefälschter Absender-Telefonnummer, alle eingehenden Nachrichten abfängt oder das Passwort für den Sperrbildschirm ändert. So ließen sich auch unbefugt Überweisungen vornehmen, wenn das TAN-Verfahren auf dem mobilen Gerät genutzt wird.

Die Malware lässt sich erst entfernen, wenn in den Sicherheitseinstellungen der von ihr eingerichtete Geräte-Administrator deaktiviert wurde. Dann kann sie über die Android Debug Bridge (ADB) mit dem Befehl “adb uninstall [Paketname]” gelöscht werden. Dafür müssen jedoch die Entwicklereinstellungen und das Debugging per ADB aktiv und der für die Kommunikation mit einem PC benötigte Treiber installiert sein. Das dürfte aber in erster Linie bei technisch versierten Nutzern der Fall sein.

Bereits Anfang des Monats waren Kunden deutscher Banken ins Visier einer Malware geraten. Damals hatte Avast vor dem Banking-Trojaner GM Bot gewarnt. Die auch als Acecard, SlemBunk oder Bankosy bezeichnete Malware, basiert auf Open-Source-Code. Da der im Darknet erhältlich ist können Kriminelle schnell und vergleichsweise unkompliziert Schadprogramme erstellen und in Umlauf bringen.

Die Angriffe mit GM Bot zielten unter anderem auf Kunden von Sparkasse, Postbank, Commerzbank, Volksbank Raiffeisen und Deutscher Bank. Auch diese Android-Malware präsentiert auf dem Smartphone täuschend echt nachgebaute Log-in-Seiten. Werden dort für eine Transaktion Anmeldedaten eingegeben, übermittelt sie diese an die Kriminellen. Außerdem fängt auch GM Bot die per SMS versendete TAN ab. Damit haben die Hintermänner dann auch hier die Möglichkeit, Transaktionen zu ihren Gunsten vorzunehmen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Was ist denn heute überhaupt noch sicher???
    Ich habe kein internet banking - zu Recht, wie man sieht...
    Selbst paypal scheint mir nicht mehr sicher, von amazon mit seinen zig fake shops ganz zu schweigen!!!

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago