Fortinet: Android-Malware greift Kunden von 15 deutschen Banken an
Die Schadsoftware gibt sich als harmlose E-Mail-App aus. Sie ahmt die Anmeldebildschirme von installierten Banking-Apps nach, um die Log-in-Daten zu stehlen. Die Malware kann außerdem 30 mobile Antivirenprogramme austricksen.
Der Sicherheitsanbieter Fortinet warnt vor einer neuen Banking-Malware für Android. Sie tarnt sich als E-Mail-App und ist in der Lage, die Anmeldedaten der Banking-Apps von 15 großen deutschen Banken zu stehlen. Die Malware verfügt zudem über Funktionen, die eine Erkennung durch mobile Antivirenprogramme verhindern.
Die vermeintliche E-Mail-Anwendung versucht, beim ersten Start die Rechte eines Geräteadministrators zu erhalten. Werden diese Rechte gewährt, kann die App nicht nur ihr Icon im App Drawer verbergen, sondern das Passwort für den Sperrbildschirm ändern und das Gerät sperren. Zudem ist sie in der Lage, SMS zu senden und zu empfangen sowie Anrufe zu tätigen.
Darüber hinaus wird ein Hintergrunddienst eingerichtet, der alle anderen laufenden Prozesse überwacht – auch die der nicht näher genannten 15 Banking-Apps. Wird eine dieser Banking-Apps gestartet, blendet die Malware einen gefälschten Anmeldebildschirm ein, der die legitime Anmeldung überlagert.
Der Hintergrunddienst ist aber auch dafür verantwortlich, dass bestimmte mobile Sicherheitsanwendungen nicht mehr ausgeführt werden können. Tippt ein Nutzer auf das Symbol einer Antiviren-App, öffnet sich stattdessen der Startbildschirm. Dieser Selbstschutzmechanismus funktioniert mit 30 verschiedenen Antivirusprogrammen für Android, darunter Produkte von Dr. Web, Symantec, Eset, Piriform, Netqin, AVG und Cleanmaster.
Bisher ungenutzt ist laut Fortinet eine Liste mit weiteren Ziel-Apps. Auch hier wäre die Malware offenbar in der Lage, gefälschte Anmeldescreens einzublenden. Die Sicherheitsforscher vermuten, dass die Cyberkriminellen ihre Malware künftig auch auf Social-Media-Apps ausrichten wollen.
Neben den Anmeldedaten von Banking-Apps sammelt die Malware aber auch Informationen über das infizierte Smartphone wie IMEI, Android-Version und Telefonnummer. Diese Daten werden verschlüsselt an einen von den Cyberkriminellen kontrollierten Server geschickt. Der Server wiederum kann verschiedene Befehle an die Malware schicken, um beispielsweise eine SMS zu senden – auf Wunsch auch mit gefälschter Absender-Telefonummer, alle eingehenden Nachrichten abzufangen und das Passwort für den Sperrbildschirm zu ändern.
Um die Malware zu entfernen, muss zuerst in den Sicherheitseinstellungen der von ihr eingerichtete Geräte-Administrator deaktiviert werden. Danach kann die App über die Android Debug Bridge (ADB) mithilfe des Befehls “adb uninstall [Paketname]” deinstalliert werden. Voraussetzung dafür ist jedoch, dass die Entwicklereinstellungen und das Debugging per ADB aktiv sind und der für die Kommunikation mit einem PC benötigte Treiber installiert ist. Von daher richtet sich dieses Verfahren in erster Linie an technisch versierte Nutzer.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de