Categories: MobileMobile Apps

Neue Android-Malware infiziert über den Google Play Store mehr als 50.000 Geräte

Der Sicherheitsanbieter ThreatFabric hat eine neue Schadsoftware für Android entdeckt. Die Xenomorph genannte Malware stiehlt Bankdaten und nimmt Kunden von Geldinstituten in Spanien, Portugal, Belgien und Italien ins Visier. Wie anderen Cyberkriminellen zuvor ist es auch den Hintermännern von Xenomorph gelungen, zur Verbreitung ihres Banking-Trojaners Googles Play Store einzuspannen.

Die Forscher fanden bei der Analyse des Codes von Xenomorph Ähnlichkeiten mit dem Banking-Trojaner Alien, wie Bleeping Computer berichtet. Sie vermuten deswegen, dass Xenomorph entweder ein Nachfolger von Alien ist oder dass dieselben Entwickler an beiden Schadprogrammen arbeiten.

Die Schadsoftware fanden die Forscher in einer eigentlich legitimen Android-App namens Fast Cleaner. Sie soll Datenmüll entfernen und dadurch Android-Geräte beschleunigen. Die App zählt derzeit mehr als 50.000 Installationen über den Play Store.

Googles Sicherheitskontrollen entging die App offenbar, weil die im Play Store angebotene App tatsächlich keinen Schadcode enthält. Der wird laut ThreatFabric erst nach der Installation heruntergeladen – die legitime App fungiert also nur als sogenannte Dropper, der die eigentliche Schadsoftware ausliefert. ThreatFabric ordnet die Apps der Dropper-Familie Gymdrop zu, die erstmals im November 2021 entdeckt wurde.

Bei ihrer Analyse stellten die Forscher dem Bericht zufolge auch fest, dass sich der Trojaner noch in einer frühen Entwicklungsphase befindet. Schon jetzt sei Xenomorph allerdings in der Lage, Informationen zu stehlen, um Kunden von 56 verschiedenen europäischen Banken anzugreifen. Unter anderem soll der Trojaner Benachrichtigungen abfangen, SMS ausspähen und per Overlay Anmeldedaten und Einmalpasswörter abfangen, die eigentlich ein Bankkonto vor Betrügern schützen sollen.

Wie viele Schadprogrammen mit ähnlichem Funktionsumfang setzt auch Xenomorph auf die Berechtigung für die Bedienungshilfen. Sie ermöglich es beispielsweise, gefälschte Anmeldeseiten als Overlay einzublenden, in die Opfer dann unwissentlich ihre Anmeldedaten eingeben. Das sich die Overlays unter der Kontrolle der Angreifer befinden, landen die Daten jedoch nicht bei der eigenen Bank, sondern bei den Hintermännern, die so Zugriff auf ein Bankkonto erhalten.

ThreatFabric geht davon aus, dass der Funktionsumfang von Xenomorph noch erweitert wird. Im Code sollen sich jetzt schon Hinweise auf eine Keylogger-Funktion und auch eine verhaltensbasierte Datensammlung finden. Ein modularer Ansatz erlaube des den Cyberkriminellen, neue Features ohne großen Aufwand zu aktivieren.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

12 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

16 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

17 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago