Laut einer Analyse von ESET ergaunert der Banking-Trojaner Spy.Agent Login-Daten und umgeht die Zwei-Faktor-Authentifizierung. So wird man ihn wieder los. [...]
Dem europäischen Security-Software-Hersteller ESET ist ein Banking-Trojaner für Android ins Netz gegangen, der als Flash Player getarnt sensible Login-Daten für das Online-Banking ausspäht. Bisher beschränken sich die Aktivitäten der Malware den Angaben zufolge zwar auf Banken in der Türkei, Australien und Neuseeland, mit einer Expansion in Richtung EU sei auf Grund der „heimtückischen Konzeption“ jedoch zu rechnen, warnt ESET.
Die Malware Android/Spy.Agent.SI tarnt sich als Flash Player, ihre .apk-Dateien werden stündlich unter anderen Ziel-URLs bereitgestellt, womöglich um die Scanner von Antiviren-Programmen zu täuschen.
LIEST SMS
Spy.Agent verlangt nach der Installation administrative Rechte um die Deinstallation zu verhindern. Werden die Rechte gewährt, wird eine mit base64 gesicherte Verbindung zu einem Command & Control-Server (C&C-Server) hergestellt und Geräteinformationen wie IMEI-Nummer und SDK-Version gesendet. Dann folgt eine Analyse der installierten Banking-Apps auf dem Android-Smartphone, die ebenso mit dem Remote-Server geteilt und mit aktuell 49 Ziel-Apps abgeglichen wird.
Besonders kritisch ist, dass die Malware die bei mobilen Bankiing-Apps oft eingesetzte Zwei-Faktor-Authentifizierung umgeht, indem alle eingehenden SMS-Nachrichten an den C&C-Server weitergeleitet werden. Öffnet man die Banking-App, tarnt sich die Malware und überlagert den Bildschirm mit einem Login-Fenster. Dieser Prozess kann nicht beendet werden und fungiert wie ein Lockscreen.
Nach Eingabe der Login-Daten werden die Informationen an einen Server gesendet und der Prozess wird beendet. Mit diesem tückischen Vorgehen können auch andere Zugangsdaten beispielsweise Google- oder PayPal-Logins abgegriffen werden. Um Smartphones vor einer Infektion zu schützen, empfiehlt ESET den Einsatz einer mobilen Antiviren-Lösung.
TROJANER ENTFERNEN
Ist es dafür schon zu spät, empfiehlt ESET in seinem Blog zwei Möglichkeiten, den Trojaner wieder zu entfernen: Wenn die schädliche App noch keine Chance hatte, sich völlig vor der Deinstallation zu schützen, genügt es die App von der Liste der Geräteadministratoren zu löschen. Die Funktion finden Sie in einem Untermenü der Einstellungen unter „Sicherheit“ oder „Gerätesicherheit“. Auf dem Samsung Galaxy S6 beispielsweise unter „Einstellungen -> Gerätesicherheit -> Andere Sicherheitseinstellungen -> Geräteadministratoren“. Dann lässt sich der falsche Flash Player ganz normal deinstallieren.
Hat die Malware sich jedoch schon vor der Deinstallation geschützt funktioniert dieser Ansatz nicht, da beim Versuch die Admin-Rechte zu entziehen ein Overlay über den Bildschirm gelegt wird, welches die Ausführung verhindert. In diesem Fall gibt ESET den Tipp, das Smartphone im Safe Mode zu starten. So werden keine Apps von Drittanbietern gestartet und die Malware lässt sich auf dem oben geschilderten Weg deinstallieren. (rnf)
Be the first to comment