Categories: SicherheitVirus

Fortinet: Android-Malware greift Kunden von 15 deutschen Banken an

Der Sicherheitsanbieter Fortinet warnt vor einer neuen Banking-Malware für Android. Sie tarnt sich als E-Mail-App und ist in der Lage, die Anmeldedaten der Banking-Apps von 15 großen deutschen Banken zu stehlen. Die Malware verfügt zudem über Funktionen, die eine Erkennung durch mobile Antivirenprogramme verhindern.

Die vermeintliche E-Mail-Anwendung versucht, beim ersten Start die Rechte eines Geräteadministrators zu erhalten. Werden diese Rechte gewährt, kann die App nicht nur ihr Icon im App Drawer verbergen, sondern das Passwort für den Sperrbildschirm ändern und das Gerät sperren. Zudem ist sie in der Lage, SMS zu senden und zu empfangen sowie Anrufe zu tätigen.

Darüber hinaus wird ein Hintergrunddienst eingerichtet, der alle anderen laufenden Prozesse überwacht – auch die der nicht näher genannten 15 Banking-Apps. Wird eine dieser Banking-Apps gestartet, blendet die Malware einen gefälschten Anmeldebildschirm ein, der die legitime Anmeldung überlagert.

Der Hintergrunddienst ist aber auch dafür verantwortlich, dass bestimmte mobile Sicherheitsanwendungen nicht mehr ausgeführt werden können. Tippt ein Nutzer auf das Symbol einer Antiviren-App, öffnet sich stattdessen der Startbildschirm. Dieser Selbstschutzmechanismus funktioniert mit 30 verschiedenen Antivirusprogrammen für Android, darunter Produkte von Dr. Web, Symantec, Eset, Piriform, Netqin, AVG und Cleanmaster.

Bisher ungenutzt ist laut Fortinet eine Liste mit weiteren Ziel-Apps. Auch hier wäre die Malware offenbar in der Lage, gefälschte Anmeldescreens einzublenden. Die Sicherheitsforscher vermuten, dass die Cyberkriminellen ihre Malware künftig auch auf Social-Media-Apps ausrichten wollen.

Neben den Anmeldedaten von Banking-Apps sammelt die Malware aber auch Informationen über das infizierte Smartphone wie IMEI, Android-Version und Telefonnummer. Diese Daten werden verschlüsselt an einen von den Cyberkriminellen kontrollierten Server geschickt. Der Server wiederum kann verschiedene Befehle an die Malware schicken, um beispielsweise eine SMS zu senden – auf Wunsch auch mit gefälschter Absender-Telefonummer, alle eingehenden Nachrichten abzufangen und das Passwort für den Sperrbildschirm zu ändern.

Um die Malware zu entfernen, muss zuerst in den Sicherheitseinstellungen der von ihr eingerichtete Geräte-Administrator deaktiviert werden. Danach kann die App über die Android Debug Bridge (ADB) mithilfe des Befehls „adb uninstall [Paketname]“ deinstalliert werden. Voraussetzung dafür ist jedoch, dass die Entwicklereinstellungen und das Debugging per ADB aktiv sind und der für die Kommunikation mit einem PC benötigte Treiber installiert ist. Von daher richtet sich dieses Verfahren in erster Linie an technisch versierte Nutzer.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago