Android-Malware stiehlt Geld von PayPal-Konten

Eset warnt vor einem besonders gefährlichen Android-Trojaner, der in der Lage ist, Geld von PayPal-Konten zu stehlen. Die Schadsoftware verbirgt sich in einer App zur Akku-Optimierung, die bisher jedoch ausschließlich über App-Stores von Drittanbietern verteilt wird und nicht im offiziellen Play Store erhältlich ist.

Trotz der aktuell geringen Verbreitung stufen die Forscher den Schädling als extrem gefährlich ein. Während der Installation fordert der Trojaner die Berechtigung für die Bedienungshilfen ein, die es ihm erlauben, virtuelle Klicks auszuführen und mit Bedienelementen von Android und Apps zu interagieren – jeweils ohne Zustimmung des Nutzers.

Allerdings setzt die Malware die Berechtigung nicht sofort gegen ihre Opfer ein. Sie wartet laut Eset stattdessen darauf, dass ein Nutzer die PayPal-App öffnet. Sollt er die App nicht von sich aus starten, hilft der Trojaner mit irreführenden Benachrichtigungen nach.

Aktiv wird der Trojaner, sobald ein Nutzer die PayPal-App geöffnet und sich erfolgreich angemeldet hat. Auch eine Zwei-Faktor-Authentifizierung schützt Nutzer nicht vor dem Diebstahl, der sofort nach Abschluss der Anmeldung beginnt. Mithilfe der Android-Bedienungshilfen initiiert die Schadsoftware nämlich eine neue Transaktion. Dafür gibt sie ein Empfängerkonto und einen Betrag ein und bestätigt die Zahlung – alles unter Umständen unter den Augen des Opfers, das sich ab dem Punkt nicht mehr gegen den Betrug wehren kann. „Der gesamte Vorgang braucht etwa fünf Sekunden, und für einen überraschten Nutzer gibt es keine Möglichkeit, rechtzeitig einzugreifen“, sagte Lukas Stefanko, Malware-Analyst bei Eset.

Dabei gibt sich der Trojaner unter Umständen alles andere als Bescheiden. Stefanko zufolge stiehlt er nämlich stets 1000 Einheiten der Währung des Opfers – in Stefankos Fall 1000 Euro. Zudem sei der Schädling so programmiert, dass er bei jedem Start der PayPal-App eine Zahlung über 1000 Einheiten ausführe, und zwar bis das Konto leergeräumt ist.

Den Diebstahl zeigt Eset auch in einem Video. Tatsächlich ist demnach nicht ausgeschlossen, dass Nutzer das kurze Ein- und Ausblenden der Bildschirmtastatur sowie das Flackern des Bildschirms beim Wechsel zwischen verschiedenen Anzeigen der PayPal-App als Fehler einordnen und gar nicht als Angriff auf ihr PayPal-Konto wahrnehmen – zumal sie ja gelernt haben, dass eine Anmeldung in zwei Schritten Zugriffe von Unbefugten auf ihr Konto vereiteln soll.

Ende 2017 hatte Google die Nutzung der Bedienungshilfen deutlich eingeschränkt. Die Programmierschnittstelle der Accessibility Services ist offiziell nur noch für Apps gestattet, die sich tatsächlich an Menschen mit körperlichen oder geistigen Einschränkungen richten. Für im Play Store veröffentlichte Apps müssen Entwickler zudem den Zugriff auf die Bedienungshilfen begründen.