Categories: SicherheitVirus

Banking-Malware für Android gibt sich erneut als Software-Update aus

Forscher des Sicherheitsanbieters Zscaler haben eine neue Variante der Android-Malware Marcher entdeckt. Der Banking-Trojaner gibt sich als Update für Adobes Flash Player aus, um Nutzer zu täuschen und sie zu einer Installation der Schadsoftware zu verleiten. Die Verbreitung erfolgt bisher allerdings nur über Websites von Drittanbietern und nicht über den Google Play Store.

Marcher liefert seinen Opfern sogar eine Anleitung zur Deaktivierung von Sicherheitsfunktionen (Screenshot: Zscaler).

Das angebliche Update für Adobe Flash Player soll für ein Spiel oder die Wiedergabe von oftmals pornografischen Videos erforderlich sein. Nutzer, die auf den Trick hereinfallen, erhalten von Marcher eine Anleitung, um die ab Werk aktive Sicherheitseinstellung abzuschalten, die die Installation von Software aus anderen Quellen als dem Play Store verhindern soll.

Hat es Marcher auf ein Android-Gerät geschafft, löscht die Malware unverzüglich ihr Icon aus der App-Übersicht App Drawer. Das infizierte Gerät wird indes bei einem Befehlsserver im Internet angemeldet, der jegliche Metadaten wie die Liste der installierten Anwendungen abruft.

Öffnet der Nutzer zu einem späteren Zeitpunkt bestimmte Apps, präsentiert Marcher ihm eine gefälschte Anmeldeseite, um die Login-Daten abzugreifen und Zugriff auf Bank- und E-Mail-Konten zu erhalten. Marcher hat es unter anderem auf Zugangsdaten für Citibank, TD Bank, PayPal, Gmail, Facebook, Walmart, Amazon und Western Union abgesehen. Diese Liste befindet sich im Code der Malware.

Den Forschern zufolge ist die neue Variante auch in der Lage, ihren Code zu verschleiern, was eine Erkennung durch Antivirensoftware erschwert. Laut VirusTotal liege die Erkennungsrate derzeit bei unter 20 Prozent. „Wir haben im vergangenen Monat regelmäßig Infektionsversuche mit Marcher beobachtet. Die regelmäßigen Änderungen zeigen, dass die Malware eine aktive und häufige Bedrohung für Android-Geräte bleibt“, sagte Viral Gandhi, Senior Security Researcher bei Zscaler.

Marcher ist schon seit fast vier Jahren im Umlauf. Die Methode, die Malware als Software-Update auszugeben, scheint sich in der Zeit bewährt zu haben. 2016 kam Marcher beispielsweise als Firmware-Update für Android daher. Anfang des Jahres war der Banking-Trojaner in einer Android-Version des Spiels Super Mario Run versteckt.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago