Trojaner BankBot ahmt Oberflächen von Apps deutscher Banken nach

MobileMobile Apps

In Deutschland nehmen die Hintermänner offenbar Kunden von Citibank, Comdirekt, Commerzbank, DKB und Postbank ins Visier. Auch Apps von Banken in der Schweiz und Österreich sind betroffen. Die Angriffe wurden bereits seit April vorbereitet. Mehrere Versionen der gefährlichen Apps waren bis zum 17. November aktiv.

Sicherheitsforscher von Avast haben noch einmal vor Gefahr für Nutzer von Online-Banking-Apps mehrerer deutscher Banken gewarnt. Die dazu verwendeten Apps wurden erstmals im April entdeckt und von den Avast-Experten in Kooperation mit Forschern von ESET und SfyLabs untersucht. Google habe ältere Versionen von BankBot zwar aus dem Play Store entfernt, mehrere Versionen blieben jedoch bis zum 17. November 2017 aktiv.

Der Trojaner BankBot tarnte sich in Google Play als Taschenlampen-, Optimierungs- oder Solitaire-Apps ein. Ziel war es jedoch, die Benutzeroberfläche von Banking-Apps zu manipulieren. In Deutschland zielt er nachweislich auf Nutzer der App von Citibank, Comdirekt, Commerzbank, DKB und Postbank ab. In der Schweiz waren Kunden der Raiffeisenbank und in Österreich Kunden der BAWAG und der Sparda-Bank ins Visier der Hintermänner von BankBot geraten.

Einige der Apps der ersten Verbreitungswelle von BankBot (Grafik: Avast)
Einige der Apps der ersten Verbreitungswelle von BankBot (Grafik: Avast)

Die Malware BankBot hat es dieses Jahr bereits mehrfach in den Google Play Store geschafft. Dazu wurde sie zunächst unter dem Deckmantel von Taschenlampen-Apps, dann als Solitaire-Spiel und schließlich als Cleaner-App angeboten. Hatten sie Nutzer so zum Download verleitet, wurde unter anderem eine gefälschte Benutzeroberfläche installiert. Die legt BankBot dann beim Öffnen einer legitimen Banking-App über deren Startseite.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Geben Nutzer ihre Bankverbindung in die gefälschte Oberfläche ein, weil sie davon ausgehen, es handle sich um die echte, eingibt, landen die Daten bei den Kriminellen gesammelt. Sofern die Banken für Online-Überweisungen Transaktionsauthentifizierungsnummern (TANs) verwenden fängt BankBot die SMS-Nachrichten mit der mobilen TAN ab. So können die Hintermänner dann auch Banküberweisungen im Namen des Nutzers durchführen.

Mit den gefährlichen Apps wurden laut Avast “tausende“ Geräte infiziert. Die von Google eingeführten Prüfmechanismen für Android-Apps erwiesen sich dabei als unzureichend und lassen sich leicht umgehen.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security bei Avast, empfiehlt Nutzern deshalb eine Sicherheits-App auf ihren mobilen Geräten zu installieren, um sich vor Malware zu schützen. Da das Unternehmen derartige Produkte anbietet, ist das nicht weiter verwunderlich. Zusätzlich rät Chrysaidos Nutzern: “Sie sollten auch wachsam sein, wenn Sie ihre Banking-App verwenden und die App nach ungewöhnlichen Änderungen der Benutzeroberfläche überprüfen. Außerdem ist es bei der Anmeldung ratsam, eine Zwei-Faktor-Authentifizierung zu aktivieren, um die Sicherheit zu erhöhen.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen