Ein als Flash Player getarnter Banking-Trojaner, der sensible Login-Daten auf Android-Geräten ausspäht, wurde jüngst entdeckt und sorgt für seither für Beunruhigung – auch in Europa.
Foto: Fotolia (80977981)
Bisher beschränken sich die Aktivitäten der Malware mit dem Namen Android/Spy.Agent.SI zwar auf Banken in der Türkei, Australien und Neuseeland, mit einer Expansion in Richtung EU ist auf Grund der heimtückischen Konzeption jedoch zu rechnen.
So verläuft die Infektion mit dem Trojaner
Android/Spy.Agent.SI tarnt sich als Flash Player, den man auf verschiedensten Webseiten herunterladen kann. Dabei werden die schadhaften .apk-Dateien stündlich wechselnd unter anderen Ziel-URLs bereitgestellt, was zur Folge hat, das sie für Scanner von Antiviren-Programmen schwerer zu erfassen sind.
Nach der Installation verlangt Spy.Agent administrative Rechte, was später eine einfache Deinstallation verhindert. Werden daraufhin die Rechte gewährt, wird eine mit base64 gesicherte Verbindung zu einem Command & Control-Server (C&C-Server) hergestellt und Geräteinformationen wie IMEI-Nummer und SDK-Version gesendet. Automatisch erfolgt eine Analyse der installierten Banking, die ebenso mit dem Remote-Server geteilt und mit aktuell 49 Ziel-Apps abgeglichen werden.
Keine Sicherheit trotz 2-Wege-Authentifizierung
Die Malware ist sogar in der Lage, die Zwei-Faktor-Authentifizierung mit PIN und TAN per SMS zu umgehen, da alle eingehenden SMS-Nachrichten sofort an den C&C-Server weitergeleitet werden. Öffnet man die Banking-App, tarnt sich die Malware und überlagert den Bildschirm mit einem Login-Fenster, das sich wie ein Lockscreen verhält – der Prozess kann nicht abgebrochen werden. Nach Eingabe der Login-Daten werden die Informationen an einen Server gesendet und für den Nutzer endet das Online Banking abrupt, und zwar in einem Desaster.
Mit diesem tückischen Vorgehen können aber auch andere Zugangsdaten wie beispielsweise für Google- oder PayPal-Konten abgegriffen werden. Um Smartphones vor einer Infektion zu schützen, empfiehlt ESET den Einsatz einer mobilen Antiviren-Lösung wie der ESET Mobile Security (das in der Basisversion sogar kostenfrei ist).
