Eset entdeckt erneut Banking-Trojaner im Google Play Store

Eset zufolge sind derzeit mehrere Varianten eines Banking-Trojaners für Android im Umlauf, die sich als Wettervorhersage-App tarnen. Mindestens zwei Varianten haben es den Forschern zufolge im Lauf dieses Monats an Googles Sicherheitskontrollen vorbei in den Play Store geschafft. Die App Good Weather war vom 4. bis 6. Februar in Googles offiziellem Marktplatz für Android-Apps erhältlich, World Weather vom 14. bis 20. Februar.

Beide Trojaner basieren offenbar auf öffentlich verfügbarem Quellcode. In einem russischen Forum sind schon seit 19. Dezember 2016 nicht nur Vorlagen für die Android-Malware, sondern auch Code für die Befehlsserver inklusive einem Webinterface erhältlich. Der fragliche Code wurde laut Eset schon früher für einen anderen Banking-Trojaner benutzt, den Dr. Web im Dezember analysiert habe.

Die App „Weather“ hat es trotz des enthaltenen Schadcodes für einen Banking-Trojaner vorbei an Googles Kontrollen in den Play Store geschafft (Screenshot: Eset).Die Schädlinge sind in der Lage, nach Erteilung der angeforderten Berechtigungen, Android-Smartphones und Tablets durch Vergabe eines neuen Passworts aus der Ferne zu sperren. Darüber hinaus sammeln sie mithilfe gefälschter Anmeldebildschirme Log-in-Daten von Banking-Apps von insgesamt 69 Finanzinstituten in Großbritannien, Österreich, Deutschland und der Türkei.

Um dem Nutzer zur Anmeldung bei seiner Banking-App zu bewegen, haben die Cyberkriminellen eine Benachrichtigungsfunktion in ihre Schadsoftware integriert. Sie informiert über eine angeblich „dringende Nachricht“ der Bank des Opfers. Wird die Benachrichtigung angeklickt, öffnet sich die gefälschte Anmeldeseite.

Der als Wetter-App getarnte Banking-Trojaner verschickt gefälschte Benachrichtigungen von Geldinstituten und richtet einen zusätzlichen Geräteadministrator ein (Screenshot: Eset).Den Forscher ist es nach eigenen Angaben gelungen, im Lauf ihrer Untersuchung die Kontrolle über das Webinterface der Befehlsserver zu übernehmen, da dieses nicht durch ein Passwort geschützt war. Darin fanden sich Informationen über mehr als 2800 infizierte Android-Geräte. Betroffen seien vor allem Nutzer in der Türkei, Syrien und Südafrika – aber auch zehn Anwender in Deutschland.

Die Auswertung zeigt außerdem, dass bei älteren Android-Versionen ein höheres Infektionsrisiko besteht. Android 4.4 KitKat läuft auf 31 Prozent der infizierten Geräte, obwohl es einen Marktanteil von nur 21,9 Prozent hat. Android 6.0 Marshmallow wiederum stellt rund 20 Prozent der infizierten Geräte – bei einem Marktanteil von 23.1 Prozent.

Eset rät Nutzern, die kürzlich einen Wetter-App installiert haben, in den Sicherheitseinstellungen ihres Smartphones oder Tablets nach einem Geräteadministrator namens „System Update“ zu suchen. Das sei ein eindeutiges Indiz für eine Infektion mit dem Banking-Trojaner. Anschließend sei es erforderlich, den Geräteadministrator zu deaktivieren und danach die fragliche Wetter-App zu löschen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de