Categories: MobileMobile Apps

Neue Android-Malware infiziert über den Google Play Store mehr als 50.000 Geräte

Der Sicherheitsanbieter ThreatFabric hat eine neue Schadsoftware für Android entdeckt. Die Xenomorph genannte Malware stiehlt Bankdaten und nimmt Kunden von Geldinstituten in Spanien, Portugal, Belgien und Italien ins Visier. Wie anderen Cyberkriminellen zuvor ist es auch den Hintermännern von Xenomorph gelungen, zur Verbreitung ihres Banking-Trojaners Googles Play Store einzuspannen.

Die Forscher fanden bei der Analyse des Codes von Xenomorph Ähnlichkeiten mit dem Banking-Trojaner Alien, wie Bleeping Computer berichtet. Sie vermuten deswegen, dass Xenomorph entweder ein Nachfolger von Alien ist oder dass dieselben Entwickler an beiden Schadprogrammen arbeiten.

Die Schadsoftware fanden die Forscher in einer eigentlich legitimen Android-App namens Fast Cleaner. Sie soll Datenmüll entfernen und dadurch Android-Geräte beschleunigen. Die App zählt derzeit mehr als 50.000 Installationen über den Play Store.

Googles Sicherheitskontrollen entging die App offenbar, weil die im Play Store angebotene App tatsächlich keinen Schadcode enthält. Der wird laut ThreatFabric erst nach der Installation heruntergeladen – die legitime App fungiert also nur als sogenannte Dropper, der die eigentliche Schadsoftware ausliefert. ThreatFabric ordnet die Apps der Dropper-Familie Gymdrop zu, die erstmals im November 2021 entdeckt wurde.

Bei ihrer Analyse stellten die Forscher dem Bericht zufolge auch fest, dass sich der Trojaner noch in einer frühen Entwicklungsphase befindet. Schon jetzt sei Xenomorph allerdings in der Lage, Informationen zu stehlen, um Kunden von 56 verschiedenen europäischen Banken anzugreifen. Unter anderem soll der Trojaner Benachrichtigungen abfangen, SMS ausspähen und per Overlay Anmeldedaten und Einmalpasswörter abfangen, die eigentlich ein Bankkonto vor Betrügern schützen sollen.

Wie viele Schadprogrammen mit ähnlichem Funktionsumfang setzt auch Xenomorph auf die Berechtigung für die Bedienungshilfen. Sie ermöglich es beispielsweise, gefälschte Anmeldeseiten als Overlay einzublenden, in die Opfer dann unwissentlich ihre Anmeldedaten eingeben. Das sich die Overlays unter der Kontrolle der Angreifer befinden, landen die Daten jedoch nicht bei der eigenen Bank, sondern bei den Hintermännern, die so Zugriff auf ein Bankkonto erhalten.

ThreatFabric geht davon aus, dass der Funktionsumfang von Xenomorph noch erweitert wird. Im Code sollen sich jetzt schon Hinweise auf eine Keylogger-Funktion und auch eine verhaltensbasierte Datensammlung finden. Ein modularer Ansatz erlaube des den Cyberkriminellen, neue Features ohne großen Aufwand zu aktivieren.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Braucht der Mittelstand eine Sovereign Cloud?

"In der Regel nicht", sagt Oliver Queck von Skaylink im Interview.

5 Tagen ago

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

6 Tagen ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

6 Tagen ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

6 Tagen ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

7 Tagen ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

7 Tagen ago