2301664

BankBot: Android-Banking-Trojaner ist zurück in Google Play

26.09.2017 | 15:11 Uhr |

Dem Banking-Trojaner BankBot ist es nun bereits zum zweiten Mal gelungen, den Google Play Store zu infiltrieren. Er hat bereits tausende Geräte infiziert.

Anfang des Jahres wurde mit BankBot ein gefährlicher Banking-Trojaner in mehreren Google-Play-Store-Apps entdeckt. Die Software wurde im April von Google entfernt. In den vergangenen Monaten wurde BankBot weiterentwickelt. Am 4. September wurde der gefährliche Trojaner vom Sicherheitsunternehmen ESET schließlich erneut im Google Play Store gesichtet . Die Schadsoftware verfügt mittlerweile über eine verbesserte Verschleierung des Quellcodes, eine neue Playload-Drop-Funktion und einen listigeren Kompromittierungsmechanismus, der auf die Android-Bedienungshilfe setzt.

Um BankBot auf möglichst viele Geräte zu bringen, nutzen Cyberkriminelle den Spiele-Klassiker Jewel Star Classic. Eine App mit dem gleichen Namen wurde erstmals am 26. August im Play Store veröffentlicht. Sie soll Kunden vorgaukeln, sie würden sich die Spiele-App auf ihr Mobilgerät laden. Stattdessen öffnen sie dem Banking-Trojaner Tür und Tor. Das Google-Sicherheitsteam wurde Anfang September von ESET über den Trojaner informiert. Die App wurde kurz darauf aus dem Play Store entfernt. Zum Zeitpunkt der Löschung zählte sie jedoch bereits mehr als 5.000 Downloads.

Wer das gefälschte Jewel Star Classic herunterlädt, bekommt den Banking-Trojaner mit 20 Minuten Verzögerung zu spüren. Dann öffnet sich eine Meldung zum Google Service. Bestätigt der Nutzer diese Meldung, wird er zum Android-Menü Bedienungshilfe weitergeleitet. Dort verlangt Google Service eine Aktivierung, die den Cyber-Kriminellen umfangreiche Zugriffsmöglichkeiten einräumt. Bestätigt der Nutzer die Forderungen der angeblichen Google-Software, kann sie BankBot und andere Anwendungen installieren und starten. Will der Smartphone-Besitzer nun zum Beispiel etwas im Play Store herunterladen, schaltet sich BankBot dazwischen und bittet um die erneute Eingabe der Kreditkarten-Daten. Da sich Bankbot zuvor als standardmäßige SMS-Benachrichtigungs-App eingesetzt hat, kann die Schadsoftware auch die Zwei-Faktor-Authentifizierung beim Online-Banking umgehen.

Um herauszufinden, ob das eigene Android-Gerät bereits von BankBot befallen ist, sollte nach einer App namens Google Update Ausschau gehalten werden. Ein aktiver Geräteadministrator namens System Update und die wiederholte Einblendung des Google-Service-Hinweises sprechen ebenfalls dafür, dass die Hardware bereits infiziert wurde. Um die Malware wieder zu entfernen, müssen Sie „System Update“ die Geräteadministratorrechte entziehen. Im Anschluss müssen sowohl die App „Google Update“ als auch die ursprüngliche Trojaner-App (in diesem Fall „Jewel Star Classic“) vom Smartphone gelöscht werden. Um erneute Infektionen zu vermeiden, sollten Sie eine zuverlässige Mobile-Security-Lösung nutzen.

So schützen Sie Ihr Mobilgerät vor Viren und anderen Schädlingen

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2301664