31. Oktober 2022, 13:42 Uhr | Lesezeit: 4 Minuten
Um Googles Sicherheitsvorkehrungen im Play Store zu umgehen, verpacken Hacker Malware als unscheinbare Apps. Dahinter lauern jedoch Banking-Trojaner.
Immer häufiger benutzen Cyberkriminelle sogenannte Dropper-Apps, um Malware auf Smartphones zu installieren. Diese Apps stehen im Google Play Store zur Verfügung und sind allem Anschein nach legitim. Erst wenn sie zu einem Update auffordern, beginnt die Installation von Malware – darunter etwa Banking-Trojaner, die an die Kontodaten wollen.
Das niederländische Computer-Support-Unternehmen Threat Fabric hat fünf Apps ausgemacht, die mit einem gefälschten Update Banking-Trojaner auf dem Android-Smartphone installieren. Dabei handelt es sich um zwei groß angelegte Kampagnen. Eine davon läuft mit dem bekannten Trojaner „Vultur“, die anderen mit den neueren „Sharkbot“.
Banking-Trojaner „Sharkbot“ zielt auch auf deutsche Banken ab
Eine neue Kampagne mit dem „Sharkbot“-Banking-Trojaner wurde erst Anfang Oktober von Threat Fabric identifiziert. Sie betrifft in erster Linie italienische Android-Nutzer, aber auch in Deutschland und anderen Ländern gibt es Fälle.
Die Dropper-App „Codice Fiscale“, mit der italienische Nutzer ihre Steuern berechnen können sollen, wurde insgesamt mehr als 10.000 mal heruntergeladen. Öffnet man die App, prüft sie, in welchem Land die SIM-Karte registriert ist. Nur wenn es sich tatsächliche um eine italienische SIM handelt, versucht „Codice Fiscale“, „Sharkbot“ zu installieren. Dazu öffnet sie eine gefälschte Play-Store-Seite, die ein Update anzeigt – ein sogenanntes Overlay. Statt des Updates kommt aber der Banking-Trojaner auf das Smartphone.
Eine zweite App mit etwas mehr als 1000 Installationen hat auch Nutzer in Deutschland und anderen Ländern als Ziel. Es handelt sich dabei um die App „File Manager Small, Lite“. Der Vorgang zur Installation von „Sharkbot“ ist identisch. Auf dem Smartphone versucht der Trojaner dann an die Bankdaten von Apps wie N26, PayPal, Targobank, Sparkasse, Postbank und Commerzbank zu kommen.
Noch mehr Apps enthalten „Vultur“-Trojaner
Threat Fabric hat drei Apps erkannt, die den Banking-Trojaner „Vultur“ auf Android-Smartphones installieren können. Das Unternehmen hatte den Trojaner erstmals im Sommer 2021 entdeckt. Dropper-Apps, die die Malware enthalten, werden im „Brunhilda Project“ zusammengefasst. Insgesamt haben die drei nun aufgedeckten Apps mehr als 110.000 Installationen aus dem Play Store erreicht. Sie kommen in From von Sicherheits-Authentifizierern und Wiederherstellungs-Werkzeugen.
Normalerweise erfüllen die Dropper-Apps tatsächliche die angegebene Funktion. Doch direkt nach der Installation kommunizieren sie mit einem Remote-Server, um die erfolgte Installation zu registrieren. Der Server sendet einen Befehl an die App, die dann dazu auffordert, ein Update zu installieren. Klickt man darauf, installiert sich „Vultur“ automatisch auf dem Smartphone. Der Trojaner ist ein sogenannter Keylogger, der Eingaben auf dem Smartphone-Display verfolgen kann. Gibt man etwa das Passwort für die Banking-App ein, kann die Malware diese auslesen.
Diese Apps sollten Android-Nutzer sofort löschen
Die bösartigen Apps wurden mittlerweile an Google gemeldet und aus dem App Store entfernt. Damit verschwinden sie jedoch nicht automatisch von den Smartphones der Nutzer. Wie in solchen Fällen üblichen, muss man betroffene Apps selbst vom Endgerät entfernen.
Hier ist die Liste der Apps, die die Banking-Trojaner „Vultur“ oder „Sharkbot“ enthalten können:
Sharkbot: Codice Fiscale 2022; File Manager Small, Lite
Vultur: Recover Audio, Images & Videos; Zetter Authentication; My Finances Tracker
Wie man sich vor Banking-Trojanern schützen kann
Leider gibt es keinen generellen Schutz vor der Overlay-Methode von „Sharkbot“ oder der Keylogger-Methode von „Vultur“. TECHBOOK hat jedoch ein paar Tipps, an welchen Anzeichen bösartige Apps erkannt werden können:
- Wenn eine App nach ihren Login-Daten fragt, obwohl Sie bereits angemeldet sind
- Zugriffs-Pop-ups, die keinen App-Namen enthalten
- Zugriffsanfragen von Apps, die keinen Zugriff die erfragten Erlaubnisse haben sollten, wie z.B. eine Taschenrechner-App, die Zugriff auf GPS haben will
- Rechtschreibfehler und grafische Fehler in der Benutzeroberfläche
- Buttons und Verlinkungen, die auf nichts verweisen
- Die Zurücktaste oder -geste funktioniert nicht richtig
Von Smartphones Achtung! Gefährliche Schadsoftware stiehlt Bankdaten
Unbemerkt eingeschleust Achtung! Bereits 150.000 Android-Smartphones mit Banking-Trojaner infiziert
Neue Untersuchung Achtung! Fast 150.000 Android-Smartphones mit Banking-Trojaner infiziert
Quellen
- Threat Fabric: Malware wars: the attack of the droppers (aufgerufen am 31. Oktober 2022)
- Phonearena: Delete these five apps now from your Android phone before your bank account is threatened (aufgerufen am 31. Oktober 2022)