Android-Trojaner BankBot erneut im Google Play Store entdeckt
Google muss bereits zum dritten Mal eine mit diesem Trojaner infizierte App aus seinem Marktplatz entfernen. Die aktuelle Variante steckt in einer App, die über Preise für Kryptowährungen informiert. Sie zeigt im Play Store sogar ein gefälschtes Prüflogo von Google Play Protect an.
Cyberkriminellen ist es erneut gelungen, die Sicherheitsvorkehrungen des Google Play Store zu überwinden und eine mit Malware infizierte Android-App einzuschleusen. Der Vorfall wirft ein schlechtes Licht auf Googles Bemühungen, seine Nutzer zu schützen, denn es handelt sich um den Trojaner BankBot, den das Unternehmen nun zum dritten Mal aus seinem Online-Marktplatz verbannen musste.
BankBot wurde entwickelt, um Anmeldedaten fürs Online-Banking und Bezahldaten zu stehlen. Der Trojaner bedient sich dabei einer einfachen und bewährten Technik: Per Overlay blendet er eine gefälschte Anmeldeseite ein, die vom Log-in der Bank eines Opfers kaum oder gar nicht zu unterscheiden ist.
Da die Schadsoftware in der Lage ist, eine Vielzahl von Banking-Apps von Geldinstituten und Drittanbietern zu erkennen, kann sie ihre Phishing-Attacken sehr gezielt an die App des Opfers sowie dessen Bank anpassen. Auch eine Zwei-Faktor-Authentifizierung per SMS ist keine Herausforderung für BankBot. In dem Fall überwacht der Trojaner den SMS-Eingang und versorgt seine Hintermänner mit allen relevanten Informationen.
Die aktuelle Variante von BankBot wurde von Forschern des Sicherheitsanbieters RiskIQ im Play Store entdeckt. Sie versteckt sich in einer App namens “Crypto Currencies Market Prices”, die Nutzer über aktuelle Preise für Kryptowährungen wie Bitcoin informieren soll. Der Eintrag im Play Store für die App zeigt sogar ein “Verified by Play Protect”-Logo, das jedoch gefälscht wurde.
Da die schädliche App die versprochenen Funktionen bietet, gehen die Forscher davon aus, dass Nutzer der App auch die bei der Installation geforderten Berechtigungen gewähren, darunter der Zugriff auf Nachrichten, das Internet und den externen Speicher. Sie wiederum sind ausreichend, um Bezahldaten zu stehlen und an die Angreifer zu übertragen.
Die Analyse der aktuellen Variante soll zudem zeigen, dass die Hintermänner den Trojaner stetig weiterentwickelt haben. Unter anderem wurden die Funktionen zur Verschleierung des Schadcodes und auch das Verfahren zum Abschöpfen von Informationen verbessert. Inzwischen wurde die verseuchte App aus dem Angebot des Play Store entfernt.
Die App-Marktplätze von Apple und Google sind ein beliebtes Ziel von Cyberkriminellen. Gelingt es, dort Apps einzuschleusen, darf man davon ausgehen, dass sie irgendwann ihren Weg auf die Geräte von Nutzern finden – gelten beide Marktplätze doch als durchweg vertrauenswürdig. Das führte zuletzt auch dazu, dass eine gefälschte Version der Messaging-App WhatsApp mehr als eine Million Mal heruntergeladen wurde.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de