Banking-Trojaner GM Bot greift auch Kunden deutscher Banken an

Banking (Bild: Shutterstock.com/qvist)

Dem Sicherheitsanbieter Avast zufolge sind Kunden von Sparkasse, Postbank, Commerzbank, Volksbank Raiffeisen und Deutscher Bank betroffen. Insgesamt zielen die Hintermänner von GM Bot auf Kunden von über 50 Banken. Sie greifen Daten ab, indem sie die Log-in-Seiten von Banking-Apps fast identisch nachbauen.

Der Sicherheitsanbieter Avast hat noch einmal eindrücklich vor dem Banking-Trojaner GM Bot gewarnt. Die Malware, die auch als Acecard, SlemBunk oder Bankosy bezeichnet wird, basiert auf Open-Source-Code. Der ist im Darknet kostenfrei erhältlich, sodass Kriminelle auf dieser Grundlage schnell und vergleichsweise unkompliziert Schadprogramme erstellen und in Umlauf bringen können. Davon machen sie laut Avast in letzter Zeit vermehrt auch Gebrauch, um Kunden deutscher Banken anzugreifen.

Laut Avast sind derzeit schon Kunden von Sparkasse, Postbank, Commerzbank, Volksbank Raiffeisen und Deutscher Bank ins Visier der Kriminellen geraten. Eine Liste aller angegriffenen Banken hat Avast hier veröffentlicht. Ihren Opfern präsentiert die Android-Malware auf dem Smartphone täuschend echt nachgebaute Log-in-Seiten. Werden für einen Transaktion dort Anmeldedaten eingegeben, übermittelt die Schadsoftware diese an die Kriminellen. Außerdem fängt die Software anschließend die per SMS versendete TAN ab. Damit haben die Hintermänner dann die Möglichkeit, Transaktionen zu ihren Gunsten vorzunehmen.

Avast (Bild: Avast)

Allein in den vergangenen drei Monaten konnte Software von Avast derartige Angriffe von GM Bot über 200.000 Mal abwehren. Allerdings wurde GM Bot erstmals bereits 2014 in russischen Darknet-Foren entdeckt. Seit Dezember 2015 steht der Quellcode von GM Bot frei zur Verfügung. Damit kann er nun von jedem verwendet werden.

Die Malware tarnt sich wie bei Android-Schadsoftware üblich als App für einen anderen Zweck. Laut Avast gibt sich GM Bot häufig als Porno-App oder Plug-in-App wie Flash Player aus. Da in Westeuropa nur wenige Nutzer inoffizielle App Stores direkt aufsuchen, werden sie dorthin teilweise durch Malvertising oder Spam-Nachrichten mit Link gelockt.

Hat der Nutzer die App heruntergeladen, verschwindet das App-Symbol vom Bildschirm. Sie fordert danach immer wieder Admin-Rechte an. Werden die gewährt, kann die Malware alle Aktivitäten auf dem infizierten Gerät kontrollieren.