Categories: SicherheitVirus

Kaspersky warnt vor Android-Trojaner Acecard

Kaspersky Lab hat einen Android-Trojaner entdeckt und näher untersucht, der sich gegen Apps für Online-Banking und Online-Bezahlen richtet. Den Sicherheitsexperten zufolge sind davon fast 50 Android-Apps und auch Bankkunden in Deutschland sowie Österreich betroffen. Als Macher des als Acecard bezeichneten Trojaners sehen sie erfahrene und vermutlich russischsprachige Cyberkriminelle.

Acecard legt Phishing-Fenster über Google Play (Bild: Kaspersky)

Die Malware nimmt mit Phishing-Fenstern außerdem Messenger wie WhatsApp und Social Networks wie Facebook ins Visier. Mit seinen Fenstern kann der Trojaner die offizielle App des Google Play Store überdecken ebenso wie Gmail, Google Music oder Paypal. Zu den betroffenen Messengern gehören neben WhatsApp Viber und Skype, zu den Sozialen Netzen außerdem Twitter und Instagram.

Zum Anwender kommt Acecard per Download und tarnt sich dabei als eine andere App, etwa als Flash Player oder Anwendung für Pornovideos. Ende Dezember wurde die Version Trojan-Downloader.AndroidOS.Acecard.b im offiziellen Angebot bei Google Play unter dem Deckmantel eines Spiels gefunden. Als Trojaner war die Malware nach dem Download nicht mehr erkennbar, da versteckt hinter dem vertrauten Symbol des Adobe Flash Player. Kaspersky mahnt daher erneut, keine zweifelhaften Apps von Google Play oder anderen Quellen herunterzuladen sowie verdächtige Webseiten und Links zu meiden.

„Die für Acecard verantwortlichen Cyberkriminellen verbreiten ihren Banktrojaner unter dem Deckmantel anderer Applikationen, über offizielle App-Stores und im Schlepptau weiterer Trojaner“, so Roman Unuchek, Senior Malware Analyst bei Kaspersky Lab. „Darüber hinaus kann die Schadsoftware viele und bekannte offizielle Apps überlagern. Diese Kombination macht aus der mobilen Malware Acecard eine der größten Gefahren, die wir derzeit kennen.“

WEBINAR

Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern

Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.

Acecard fiel im dritten Quartal 2015 in Australien durch eine starke Zunahme von Angriffen auf Mobile-Banking-Apps auf. Weitere Schwerpunkte des Trojaners waren Russland, Deutschland, Österreich und Frankreich. Erstmals erkannt wurde die Malware 2014. Inzwischen berichtet Kaspersky von über zehn Varianten, die sich für immer noch wirksamere Angriffe eigneten.

Im Blog Securelist führt Kaspersky-Analyst Unuchek die Vorgeschichte des Trojaners als „Evolution von Acecard“ aus. Demnach begann alles mit dem Schädling Backdoor.AndroidOS.Torec.a. Eine seiner Modifikationen nutzte als erster Android-Trojaner das Anonymisierungsnetzwerk Tor für sich, um den Standort eines Command-and-Control-Servers zu verbergen, der Daten über das Mobiltelefon, wie etwa dessen IMEI, sammelte. Auf Android-Geräten konnte die Malware schließlich eintreffende und versendete Nachrichten abfangen und verstecken oder auch die Kommunikation sperren sowie Code ausführen.

Die Autoren dieser Malware steckten offenbar auch hinter der ersten mobilen Ransomware Trojan-Ransom.AndroidOS.Pletor.a. Dieser Trojaner verschlüsselte die auf dem Gerät gespeicherten Dateien und verlangte Lösegeld für ihre Dechiffrierung. Nähere Untersuchung und Code-Vergleich weisen darauf hin, dass diese Vorläufer von denselben Cyberkriminellen geschaffen wurden wie der jetzt aktive Banking-Trojaner. Klassen-Namen, Methoden und Variablen der drei Trojaner zeigten sich großteils identisch. Der für die entsprechenden Methoden eingesetzte Code stimmte völlig überein oder wies nur geringe Veränderungen auf.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

17 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

21 Stunden ago