Cybereason warnt vor neuem mobilen Banking-Trojaner

Forscher von Cybereason haben einen neuartigen Banking-Trojaner namens EventBot entdeckt, der sich vornehmlich gegen Android-Nutzer richtet. Die Malware ist offenbar seit März 2020 im Umlauf. Wie viele andere Android-Schädlinge nutzt auch EventBot die Android-Bedienungshilfen, um im Hintergrund agieren zu können.

EventBot ist in der Lage, gegen mehr als 200 verschiedene Finanz-Apps vorzugehen, darunter Banking-Apps, Zahlungsdienste und elektronische Geldbörsen für Kryptowährungen. Davon betroffen sind unter anderem PayPal Business, Revolut, Barclays, UniCredit, Capital One UK, HSBC UK, Santander UK, TransferWise, Coinbase und Paysafecard. Die Hintermänner haben es bevorzugt auf Nutzer in den USA und Europa abgesehen – auch Anwender in Deutschland sind betroffen.

„EventBot ist besonders deshalb interessant, weil sich die Malware noch in einem so frühen Stadium befindet. Diese brandneue Schadsoftware hat durchaus das Potenzial das nächste große Ding in Sachen mobiler Malware zu werden“, teilte Cybereason mit. „Dafür spricht, dass sie fortlaufend verbessert wird, dass sie sich eine wichtige Funktion des Betriebssystems zunutze macht, und dass sie sich speziell gegen Finanz-Apps richtet.“

EventBot ist einer ersten Analyse zufolge in der Lage, Benutzerdaten aus Finanz-Apps zu stehlen. Zum Funktionsumfang gehört aber auch das Mitlesen von SMS-Nachrichten, was es der Malware erlaubt, eine 2-Faktor-Authentifizierung zu umgehen.

Außerdem gehen die Forscher davon aus, dass die Hintermänner künftig versuchen werden, EventBot in legitimen Apps zu verstecken und in den Play Store einzuschleusen. Darauf deuten Icons legitimer Apps hin, die die Forscher ebenfalls fanden. Diese Tarnung soll außerdem dazu beitragen, dass Nutzer der Malware die benötigte Berechtigung für die Bedienungshilfen erteilen.

Nach Erhalt der Berechtigungen erstellt EventBot eine Liste mit allen installierten Apps und fragt Geräteinformationen wie OS-Version und Smartphone-Modell ab. Diese und weitere Daten werden an einen Server im Internet übermittelt, der wiederum Informationen über die anzugreifenden Finanz-Apps liefert.

Inzwischen sind den Forschern drei verschiedene Versionen von EventBot bekannt – mit jeweils neuen Funktionen. Verbessert wurde unter anderem die Verschlüsselung der Kommunikation mit dem Befehlsserver. Auch liegen die Dialoge, mit denen Berechtigungen eingefordert werden, nun in verschiedenen Sprachen vor. Die jüngste Version ist außerdem in der Lage, die Eingabe des PINs für den Startbildschirm abzufangen.

„EventBot ist ein mobiler Banking-Trojaner, der Finanzinformationen stiehlt und Transaktionen kapern kann. Sobald sich diese Malware erfolgreich installiert hat, sammelt sie persönliche Daten, Passwörter, Tastatureingaben, Bankdaten und vieles mehr. Diese Informationen können dem Angreifer Zugriff auf persönliche und geschäftliche Bankkonten, persönliche und geschäftliche Daten und vieles mehr verschaffen“, teilte Cybereason mit.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago