Bankdaten-Klau: Android-Malware ThreatLabZ kommt als Chrome-Update

Anja Schmoll-Trautmann,
Logos von Android und Chrome (Bild: Google)

Die Verteilung der Schadsoftware erfolgt mit Social Engineering oder als Scareware. ThreatLabZ versucht durch eine falsche Google-Play-Kreditkartenabfrage an Bankdaten heranzukommen. Installierte Sicherheitsanwendungen werden nach Möglichkeit deaktiviert.

Auf eine neue Android-Malware, die Bankdaten und andere private Daten stiehlt, hat jetzt Zscaler hingewiesen. Die Schadsoftware tarnt sich als Update für den Browser Chrome und wird nicht von einer einheitlichen, sondern einer ganzen Reihe unterschiedlicher URLs gehostet, die mit Namensbestandteilen wie “android-update” oder zumindest “goog” einen offiziellen Eindruck erwecken sollen. Sie sind jeweils nur kurz aktiv und werden dann, um eine URL-basierte Erkennung zu verhindern, gewechselt.

Falsche Google-Play-Kreditkartenabfrage (Bild: Zscaler)
Falsche Google-Play-Kreditkartenabfrage (Bild: Zscaler)

Kriminelle versuchen, den Forschern der Zscaler ThreatLabZ zufolge, Anwendern das Paket mit dem Namen “Update_chrome.apk” unterzuschieben, indem sie sie vor einem angeblichen Virenbefall warnen. Die Malware verschafft sich – einmal installiert – Administratorrechte und schickt Bankdaten ebenso wie SMS, Anruflisten und die Browserhistorie an einen Kommandoserver.

“Die Malware kann von kompromittierten oder bösartigen Seiten kommen und mit Scareware-Taktik oder Social Engineering verteilt werden”, sagte Zscaler-Director Deepen Desai gegenüber ZDNet.com. “Das haben wir bei bösartigen Android-Applikationspaketen in letzter Zeit öfter beobachtet, dass sie Scareware-Taktiken verwenden und der User per Pop-up einen Hinweis erhält, sein Gerät sei infiziert. Das angebliche Update verspricht dann eine Säuberung des Geräts.”

Nach der Installation checkt die Schadsoftware zudem, ob Sicherheitsanwendungen installiert sind und schaltet sie nach Möglichkeit ab. Nach aktuellem Stand befinden sich darunter etwa Android-Sicherheitslösungen von Avast, Dr. Web, Eset und Kaspersky.

Umfrage

Welche Produkteigenschaften müssen 2-in-1-Geräte für den Einsatz in Ihrem Unternehmen erfüllen? Wählen Sie die drei wichtigsten aus.

Ergebnisse

Loading ... Loading ...

Browserhistorie, Anruflisten und SMS gehen direkt an einen Kommandoserver. Die weitere Kommunikation wird dann überwacht und Gespräche mit unbekannten Anrufern in manchen Fällen sogar beendet. Das Programm blendet einen Zscaler zufolge echt aussehenden Bezahl-Bildschirm für Google Play ein, um an die Bankdaten zu gelangen. Diese Daten werden in Form eines Screenshots an eine russische Telefonnummer geschickt.

Die Malware verhindert eine Deinstallation, indem sie dem Nutzer die Berechtigung für diesen Schritt entzieht. Die einzige reguläre Möglichkeit zur Deinstallation besteht im Zurücksetzen auf die Fabrikeinstellungen, was natürlich auch alle anderen Daten im Speicher löscht.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de