Falscher Flash Player Spy.Agent klaut Log-in-Daten und liest SMS mit

SicherheitVirus
Malware Trojaner Virus (Bild: Shutterstock/Blue Island)

Vor dem Banking-Trojaner für Android hat jetzt der Security-Anbieter ESET gewarnt. Aktuell beschränken sich die Aktivitäten auf Kunden von Banken in der Türkei, Australien und Neuseeland. Die Experten rechnen aufgrund der Konzeption der Malware damit, dass sie bald auch in EU-Ländern auftaucht.

Eset hat vor der Android-Malware Spy.Agent gewarnt, die sich als Flash Player tarnt und von ihren Opfern in erster Linie Log-in-Daten für das Online-Banking ausspäht. Sie kann allerdings auch eingehenden SMS an den Kontrollserver der Hintermänner weiterleiten und so die Zwei-Faktor-Authentifizierung umgeht. So kann sie laut Eset auch Zugangsdaten anderer Dienste, etwa von Google oder PayPal abgreifen.

Die Malware Spy.Agent legt einen Prozess über diverse Banking-Apps, mit dem Log-in-Daten ausgespäht werden (Bild: Eset).
Die Malware Spy.Agent legt einen Prozess über diverse Banking-Apps, mit dem Log-in-Daten ausgespäht werden (Bild: Eset).

Die Hintermänner der exakt als Android/Spy.Agent.SI bezeichneten Malware haben sich bisher auf Angriffe auf Bankkunden in Aktivitäten der Türkei, Australien und Neuseeland beschränkt. Die Eset-Experten erwarten aufgrund der Konzeption und Natur der Malware jedoch, dass sie demnächst auch in EU-Ländern aktiv werden.

Spy.Agent tarnt sich als Flash Player. Die von den Kriminellen modifizierten .apk-Dateien werden stündlich von anderen URLs aus bereitgestellt. Das könnte ein Versuch sein, die Scanner von Antiviren-Programmen zu täuschen. Einmal installiert verlangt Spy.Agent administrative Rechte und verhindert sofern ihr die eingeräumt werden, dann die Deinstallation.

Außerdem stellt sie dann eine mit Base64 gesicherte Verbindung zu einem Kontrollserver her, dem sie auch und Geräteinformationen wie die IMEI-Nummer und die SDK-Version übermittelt. Ihr eigentliches Ziel nimmt sie dann ins Visier: Sie untersucht, welche Banking-Apps auf dem Android-Smartphone installiert sind und sendet diese Information ebenfalls an den Remote-Server, der sie dann mit aktuell 49 Ziel-Apps abgleicht.

Öffnet man eine dieser Banking-Apps überlagert die Malware den Bildschirm mit einem Log-in-Fenster. Dieses verhält sich laut Eset wie ein Lockscreen und kann nicht beendet werden. Nehmen Anwender an, die Bank habe den Anmeldeprozess geändert und seine Log-in-Daten eingibt, werden diese Informationen an einen Server der Kriminellen gesendet und der Prozess beendet. Da die Malware zudem alle eingehenden SMS-Nachrichten an diesen Server weiterleiten kann, ist sie auch in der Lage, die Zwei-Faktor-Authentifizierung zu umgehen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen