Neue Android-Malware infiziert über den Google Play Store mehr als 50.000 Geräte

Der Sicherheitsanbieter ThreatFabric hat eine neue Schadsoftware für Android entdeckt. Die Xenomorph genannte Malware stiehlt Bankdaten und nimmt Kunden von Geldinstituten in Spanien, Portugal, Belgien und Italien ins Visier. Wie anderen Cyberkriminellen zuvor ist es auch den Hintermännern von Xenomorph gelungen, zur Verbreitung ihres Banking-Trojaners Googles Play Store einzuspannen.

Die Forscher fanden bei der Analyse des Codes von Xenomorph Ähnlichkeiten mit dem Banking-Trojaner Alien, wie Bleeping Computer berichtet. Sie vermuten deswegen, dass Xenomorph entweder ein Nachfolger von Alien ist oder dass dieselben Entwickler an beiden Schadprogrammen arbeiten.

Die Schadsoftware fanden die Forscher in einer eigentlich legitimen Android-App namens Fast Cleaner. Sie soll Datenmüll entfernen und dadurch Android-Geräte beschleunigen. Die App zählt derzeit mehr als 50.000 Installationen über den Play Store.

Googles Sicherheitskontrollen entging die App offenbar, weil die im Play Store angebotene App tatsächlich keinen Schadcode enthält. Der wird laut ThreatFabric erst nach der Installation heruntergeladen – die legitime App fungiert also nur als sogenannte Dropper, der die eigentliche Schadsoftware ausliefert. ThreatFabric ordnet die Apps der Dropper-Familie Gymdrop zu, die erstmals im November 2021 entdeckt wurde.

Bei ihrer Analyse stellten die Forscher dem Bericht zufolge auch fest, dass sich der Trojaner noch in einer frühen Entwicklungsphase befindet. Schon jetzt sei Xenomorph allerdings in der Lage, Informationen zu stehlen, um Kunden von 56 verschiedenen europäischen Banken anzugreifen. Unter anderem soll der Trojaner Benachrichtigungen abfangen, SMS ausspähen und per Overlay Anmeldedaten und Einmalpasswörter abfangen, die eigentlich ein Bankkonto vor Betrügern schützen sollen.

Wie viele Schadprogrammen mit ähnlichem Funktionsumfang setzt auch Xenomorph auf die Berechtigung für die Bedienungshilfen. Sie ermöglich es beispielsweise, gefälschte Anmeldeseiten als Overlay einzublenden, in die Opfer dann unwissentlich ihre Anmeldedaten eingeben. Das sich die Overlays unter der Kontrolle der Angreifer befinden, landen die Daten jedoch nicht bei der eigenen Bank, sondern bei den Hintermännern, die so Zugriff auf ein Bankkonto erhalten.

ThreatFabric geht davon aus, dass der Funktionsumfang von Xenomorph noch erweitert wird. Im Code sollen sich jetzt schon Hinweise auf eine Keylogger-Funktion und auch eine verhaltensbasierte Datensammlung finden. Ein modularer Ansatz erlaube des den Cyberkriminellen, neue Features ohne großen Aufwand zu aktivieren.