Android: Banking-Trojaner klaut Login-Daten und liest SMS mit

Laut einer Analyse von ESET ergaunert der Banking-Trojaner Spy.Agent Login-Daten und umgeht die Zwei-Faktor-Authentifizierung. So wird man ihn wieder los. [...]

Dem europäischen Security-Software-Hersteller ESET ist ein Banking-Trojaner für Android ins Netz gegangen, der als Flash Player getarnt sensible Login-Daten für das Online-Banking ausspäht. Bisher beschränken sich die Aktivitäten der Malware den Angaben zufolge zwar auf Banken in der Türkei, Australien und Neuseeland, mit einer Expansion in Richtung EU sei auf Grund der „heimtückischen Konzeption“ jedoch zu rechnen, warnt ESET.

Die Malware Android/Spy.Agent.SI tarnt sich als Flash Player, ihre .apk-Dateien werden stündlich unter anderen Ziel-URLs bereitgestellt, womöglich um die Scanner von Antiviren-Programmen zu täuschen.

LIEST SMS

Spy.Agent verlangt nach der Installation administrative Rechte um die Deinstallation zu verhindern. Werden die Rechte gewährt, wird eine mit base64 gesicherte Verbindung zu einem Command & Control-Server (C&C-Server) hergestellt und Geräteinformationen wie IMEI-Nummer und SDK-Version gesendet. Dann folgt eine Analyse der installierten Banking-Apps auf dem Android-Smartphone, die ebenso mit dem Remote-Server geteilt und mit aktuell 49 Ziel-Apps abgeglichen wird.

Besonders kritisch ist, dass die Malware die bei mobilen Bankiing-Apps oft eingesetzte Zwei-Faktor-Authentifizierung umgeht, indem alle eingehenden SMS-Nachrichten an den C&C-Server weitergeleitet werden. Öffnet man die Banking-App, tarnt sich die Malware und überlagert den Bildschirm mit einem Login-Fenster. Dieser Prozess kann nicht beendet werden und fungiert wie ein Lockscreen.

Nach Eingabe der Login-Daten werden die Informationen an einen Server gesendet und der Prozess wird beendet. Mit diesem tückischen Vorgehen können auch andere Zugangsdaten beispielsweise Google- oder PayPal-Logins abgegriffen werden. Um Smartphones vor einer Infektion zu schützen, empfiehlt ESET den Einsatz einer mobilen Antiviren-Lösung.

TROJANER ENTFERNEN

Ist es dafür schon zu spät, empfiehlt ESET in seinem Blog zwei Möglichkeiten, den Trojaner wieder zu entfernen: Wenn die schädliche App noch keine Chance hatte, sich völlig vor der Deinstallation zu schützen, genügt es die App von der Liste der Geräteadministratoren zu löschen. Die Funktion finden Sie in einem Untermenü der Einstellungen unter „Sicherheit“ oder „Gerätesicherheit“. Auf dem Samsung Galaxy S6 beispielsweise unter „Einstellungen -> Gerätesicherheit -> Andere Sicherheitseinstellungen -> Geräteadministratoren“. Dann lässt sich der falsche Flash Player ganz normal deinstallieren.

Hat die Malware sich jedoch schon vor der Deinstallation geschützt funktioniert dieser Ansatz nicht, da beim Versuch die Admin-Rechte zu entziehen ein Overlay über den Bildschirm gelegt wird, welches die Ausführung verhindert. In diesem Fall gibt ESET den Tipp, das Smartphone im Safe Mode zu starten. So werden keine Apps von Drittanbietern gestartet und die Malware lässt sich auf dem oben geschilderten Weg deinstallieren. (rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*