Banking-Trojaner in Google Play

Banking (Bild: Shutterstock.com/qvist)

Auch deutsche Nutzer sind von der Malware betroffen, die gefälschte Anmeldeseiten von Banking-Apps einblendet und das Gerätepasswort ändert.

Varianten eines Banking-Trojaners für Android verbreiten sich derzeit über Googles Appstore Play. Die bösartigen Apps tarnen sich als Wettervorhersage-App. Mindestens zwei Varianten sollen es laut den Forschern von Eset im Februar an Googles Sicherheitskontrollen vorbei in den Play Store geschafft. Die App Good Weather war vom 4. bis 6. Februar in Googles offiziellem Marktplatz für Android-Apps erhältlich, World Weather vom 14. bis 20. Februar.

Beide Trojaner basieren auf öffentlich verfügbarem Quellcode. In einem russischen Forum sind schon seit 19. Dezember 2016 nicht nur Vorlagen für die Android-Malware, sondern auch Code für die Befehlsserver samt Webinterface erhältlich. Der fragliche Code wurde laut Eset schon früher für einen anderen Banking-Trojaner benutzt, der bereits von dem Sicherheitsanbieter Dr. Web im Dezember analysiert wurde.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Die Schädlinge sind in der Lage, nach Erteilung der angeforderten Berechtigungen, Android-Smartphones und Tablets durch Vergabe eines neuen Passworts aus der Ferne zu sperren. Darüber hinaus sammeln sie mithilfe gefälschter Anmeldebildschirme Log-in-Daten von Banking-Apps von insgesamt 69 Finanzinstituten in Großbritannien, Österreich, Deutschland und der Türkei.

Trotz enthaltenen Schadcodes für einen Banking-Trojaner konnte sich die App Weather durch Googles Kontrollen in den Play Store schmuggeln. (Screenshot: Eset)
Trotz enthaltenen Schadcodes für einen Banking-Trojaner konnte sich die App Weather durch Googles Kontrollen in den Play Store schmuggeln. (Screenshot: Eset)

Um dem Nutzer zur Anmeldung bei seiner Banking-App zu bewegen, haben die Cyberkriminellen eine Benachrichtigungsfunktion in ihre Schadsoftware integriert. Sie informiert über eine angeblich “dringende Nachricht” der Bank des Opfers. Wird die Benachrichtigung angeklickt, öffnet sich die gefälschte Anmeldeseite.

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Den Forscher ist es nach eigenen Angaben gelungen, im Lauf ihrer Untersuchung die Kontrolle über das Webinterface der Befehlsserver zu übernehmen, da dieses nicht durch ein Passwort geschützt war. Darin fanden sich Informationen über mehr als 2800 infizierte Android-Geräte. Betroffen seien vor allem Nutzer in der Türkei, Syrien und Südafrika – aber auch zehn Anwender in Deutschland.

Die Auswertung zeigt außerdem, dass bei älteren Android-Versionen ein höheres Infektionsrisiko besteht. Android 4.4 KitKat läuft auf 31 Prozent der infizierten Geräte, obwohl es einen Marktanteil von nur 21,9 Prozent hat. Android 6.0 Marshmallow wiederum stellt rund 20 Prozent der infizierten Geräte – bei einem Marktanteil von 23.1 Prozent.

Der als Wetter-App getarnte Banking-Trojaner verschickt gefälschte Benachrichtigungen von Geldinstituten und richtet einen zusätzlichen Geräteadministrator ein. (Screenshot: Eset)
Der als Wetter-App getarnte Banking-Trojaner verschickt gefälschte Benachrichtigungen von Geldinstituten und richtet einen zusätzlichen Geräteadministrator ein. (Screenshot: Eset)

Eset rät Nutzern, die kürzlich einen Wetter-App installiert haben, in den Sicherheitseinstellungen ihres Smartphones oder Tablets nach einem Geräteadministrator namens “System Update” zu suchen. Das sei ein eindeutiges Indiz für eine Infektion mit dem Banking-Trojaner. Anschließend sei es erforderlich, den Geräteadministrator zu deaktivieren und danach die fragliche Wetter-App zu löschen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de