Categories: SicherheitVirus

Android-Malware ahmt Anmeldebildschirme installierter Banking-Apps nach

Sicherheitsanbieter Fortinet hat vor einer neuen Malware gewarnt, die gezielt die Android-Nutzer unter den Kunden deutscher Banken angreift. Die Schadsoftware tarnt sich zunächst als E-Mail-App, um auf den Mobilgeräten installiert zu werden. Die Malware verfügt zudem über Funktionen, die eine Erkennung durch mobile Antivirenprogramme verhindern.

Beim ersten Start fordert sie dann die Rechte eines Geräteadministrators an. Werden ihr diese gewährt, verbirgt sie das Icon im App Drawer, kann das Passwort für den Sperrbildschirm ändern und das Gerät sperren. Und sie kann auch SMS senden und empfangen sowie Anrufe tätigen.

Vor allem aber wird ein Hintergrunddienst eingerichtet, der alle anderen laufenden Prozesse überwacht, darunter laut Fortinet auch von insgesamt 15 nicht näher genannten Banking-Apps. Wird eine davon gestartet, überlagert die Malware sie mit einem gefälschten Anmeldebildschirm. Geben Nutzer ihre Anmeldedaten dort ein, gelangen sie in die Hände der Kriminellen.

Der Hintergrunddienst sorgt zudem auch dafür, dass Sicherheitsanwendungen nicht mehr ausgeführt werden. Tippt der Nutzer auf das Symbol einer Antiviren-App, öffnet sich stattdessen der Startbildschirm. Dies funktioniert laut Fortinet mit 30 Antivirusprogrammen für Android, darunter Produkten von AVG, Cleanmaster, Dr. Web, Eset und Symantec (Norton).

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Neben den Anmeldedaten sammelt die Malware auch Informationen über das infizierte Smartphone, darunter die IMEI, die Android-Version und die Telefonnummer. Diese Daten werden verschlüsselt und an einen von den Hintermännern kontrollierten Server gesendet. Der kann Befehle an die Malware schicken, beispielsweise dass sie eine SMS versenden soll, auch mit gefälschter Absender-Telefonnummer, alle eingehenden Nachrichten abfängt oder das Passwort für den Sperrbildschirm ändert. So ließen sich auch unbefugt Überweisungen vornehmen, wenn das TAN-Verfahren auf dem mobilen Gerät genutzt wird.

Die Malware lässt sich erst entfernen, wenn in den Sicherheitseinstellungen der von ihr eingerichtete Geräte-Administrator deaktiviert wurde. Dann kann sie über die Android Debug Bridge (ADB) mit dem Befehl “adb uninstall [Paketname]” gelöscht werden. Dafür müssen jedoch die Entwicklereinstellungen und das Debugging per ADB aktiv und der für die Kommunikation mit einem PC benötigte Treiber installiert sein. Das dürfte aber in erster Linie bei technisch versierten Nutzern der Fall sein.

Bereits Anfang des Monats waren Kunden deutscher Banken ins Visier einer Malware geraten. Damals hatte Avast vor dem Banking-Trojaner GM Bot gewarnt. Die auch als Acecard, SlemBunk oder Bankosy bezeichnete Malware, basiert auf Open-Source-Code. Da der im Darknet erhältlich ist können Kriminelle schnell und vergleichsweise unkompliziert Schadprogramme erstellen und in Umlauf bringen.

Die Angriffe mit GM Bot zielten unter anderem auf Kunden von Sparkasse, Postbank, Commerzbank, Volksbank Raiffeisen und Deutscher Bank. Auch diese Android-Malware präsentiert auf dem Smartphone täuschend echt nachgebaute Log-in-Seiten. Werden dort für eine Transaktion Anmeldedaten eingegeben, übermittelt sie diese an die Kriminellen. Außerdem fängt auch GM Bot die per SMS versendete TAN ab. Damit haben die Hintermänner dann auch hier die Möglichkeit, Transaktionen zu ihren Gunsten vorzunehmen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Was ist denn heute überhaupt noch sicher???
    Ich habe kein internet banking - zu Recht, wie man sieht...
    Selbst paypal scheint mir nicht mehr sicher, von amazon mit seinen zig fake shops ganz zu schweigen!!!

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

13 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

14 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago