Android-Malware ahmt Anmeldebildschirme installierter Banking-Apps nach

SicherheitVirus

Die Schadsoftware tarnt sich als E-Mail-App. Werden ihr bei der Installation die angefordreten rechte eingeräumt, richtet sie einen Hintergrunddienst ein, der alle anderen laufenden Prozesse überwacht. Wird eine von 15 Banking-Apps deutscher Banken aufgerufen, präsentiert dier Malware eine gefälschten Log-in-Seite.

Sicherheitsanbieter Fortinet hat vor einer neuen Malware gewarnt, die gezielt die Android-Nutzer unter den Kunden deutscher Banken angreift. Die Schadsoftware tarnt sich zunächst als E-Mail-App, um auf den Mobilgeräten installiert zu werden. Die Malware verfügt zudem über Funktionen, die eine Erkennung durch mobile Antivirenprogramme verhindern.

Beim ersten Start fordert sie dann die Rechte eines Geräteadministrators an. Werden ihr diese gewährt, verbirgt sie das Icon im App Drawer, kann das Passwort für den Sperrbildschirm ändern und das Gerät sperren. Und sie kann auch SMS senden und empfangen sowie Anrufe tätigen.

Online-Banking-Kreditkarten (Bild: Shutterstock/Oleksiy-Mark)

Vor allem aber wird ein Hintergrunddienst eingerichtet, der alle anderen laufenden Prozesse überwacht, darunter laut Fortinet auch von insgesamt 15 nicht näher genannten Banking-Apps. Wird eine davon gestartet, überlagert die Malware sie mit einem gefälschten Anmeldebildschirm. Geben Nutzer ihre Anmeldedaten dort ein, gelangen sie in die Hände der Kriminellen.

Der Hintergrunddienst sorgt zudem auch dafür, dass Sicherheitsanwendungen nicht mehr ausgeführt werden. Tippt der Nutzer auf das Symbol einer Antiviren-App, öffnet sich stattdessen der Startbildschirm. Dies funktioniert laut Fortinet mit 30 Antivirusprogrammen für Android, darunter Produkten von AVG, Cleanmaster, Dr. Web, Eset und Symantec (Norton).

Ausgewähltes Whitepaper

Grundlagen einer modernen Nutzer-Authentifizierung in Firmen

Marktforschern zufolge arbeitet inzwischen rund ein Drittel der Menschen weltweit zumindest zeitweise außerhalb des Büros. Das ist gut für die Produktivität, für die Work-Life-Balance, hervorragend für die internationale Zusammenarbeit und schafft Flexibilität für Mitarbeiter und Firmen. Aber aus der Perspektive der IT-Sicherheit ist es ein Alptraum.

Neben den Anmeldedaten sammelt die Malware auch Informationen über das infizierte Smartphone, darunter die IMEI, die Android-Version und die Telefonnummer. Diese Daten werden verschlüsselt und an einen von den Hintermännern kontrollierten Server gesendet. Der kann Befehle an die Malware schicken, beispielsweise dass sie eine SMS versenden soll, auch mit gefälschter Absender-Telefonnummer, alle eingehenden Nachrichten abfängt oder das Passwort für den Sperrbildschirm ändert. So ließen sich auch unbefugt Überweisungen vornehmen, wenn das TAN-Verfahren auf dem mobilen Gerät genutzt wird.

Die Malware lässt sich erst entfernen, wenn in den Sicherheitseinstellungen der von ihr eingerichtete Geräte-Administrator deaktiviert wurde. Dann kann sie über die Android Debug Bridge (ADB) mit dem Befehl “adb uninstall [Paketname]” gelöscht werden. Dafür müssen jedoch die Entwicklereinstellungen und das Debugging per ADB aktiv und der für die Kommunikation mit einem PC benötigte Treiber installiert sein. Das dürfte aber in erster Linie bei technisch versierten Nutzern der Fall sein.

Bereits Anfang des Monats waren Kunden deutscher Banken ins Visier einer Malware geraten. Damals hatte Avast vor dem Banking-Trojaner GM Bot gewarnt. Die auch als Acecard, SlemBunk oder Bankosy bezeichnete Malware, basiert auf Open-Source-Code. Da der im Darknet erhältlich ist können Kriminelle schnell und vergleichsweise unkompliziert Schadprogramme erstellen und in Umlauf bringen.

Die Angriffe mit GM Bot zielten unter anderem auf Kunden von Sparkasse, Postbank, Commerzbank, Volksbank Raiffeisen und Deutscher Bank. Auch diese Android-Malware präsentiert auf dem Smartphone täuschend echt nachgebaute Log-in-Seiten. Werden dort für eine Transaktion Anmeldedaten eingegeben, übermittelt sie diese an die Kriminellen. Außerdem fängt auch GM Bot die per SMS versendete TAN ab. Damit haben die Hintermänner dann auch hier die Möglichkeit, Transaktionen zu ihren Gunsten vorzunehmen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen