Wer das mobile Banking per App auf seinem Android-Smartphone nutzt, sollte prüfen, ob er in den letzten Tagen und Wochen eine manipulierte App aus dem PlayStore von Google herunter geladen hat. In mehreren unverdächtig wirkenden Apps hatte sich der Trojaner BankBot versteckt und das wurde durch Google auch nicht sofort bemerkt.
Der Trojaner installiert dabei bei mehreren verbreiteten Banking-Apps (unter anderem Citibank, Comdirekt, Commerzbank, DKB und Postbank) eine neue Benutzeroberfläche, die täuschend echt wirkt. Der Kunde glaubt, seinen normalen Bankgeschäfte abzuwickeln und stattdessen werden die Daten aus der App direkt an die Hintermänner des Trojaners geschickt. Dazu werden auch SMS abgefangen um so an die TANs zu kommen – auf diese Weise haben die Macher des Trojaner Zugriff auf den Account und können selbst Transaktionen durchführen.
Die Sicherheitsexperten von Avast schreiben dazu:
Google entfernte erst kürzlich ältere Versionen des BankBot aus dem Play Store; mehrere Versionen blieben jedoch bis zum 17. November 2017 aktiv. Dies genügte, um Tausende von Nutzern zu infizieren. Google hat auch Scan- und Prüfmaßnahmen für alle Apps eingeführt, die in den Play Store übermittelt werden, um sicherzustellen, dass in Zukunft keine schädlichen Programme in den Play Store gelangen. In letzter Zeit haben die Autoren von Mobile-Banking-Trojanern jedoch begonnen, spezielle Techniken anzuwenden, um die automatischen Erkennungsdienste von Google zu täuschen. So führt BankBot beispielweise bereits zwei Stunden, nachdem ein Nutzer der App Administratorrechte für das Gerät erteilt, schädliche Aktivitäten durch. Außerdem veröffentlichten die Cyberkriminellen die Apps unter verschiedenen Entwicklernamen, was eine gängige Taktik zur Umgehung der Überprüfung durch Google ist.
Der Trojaner hat sich dabei in verschiedenen anderen Apps versteckt. So gab es den bankBot als Taschenlampen-Apps aus, danach als Solitaire-Spiele und als Cleaner-App – alles Apps, die häufig und meistens ohne Verdacht installiert werden. Google hat zwar an sich Sicherheitssperren, um solche Tricks zu enttarnen, aber auch hier nutzte der Trojaner verschiedene Techniken, um diese Sicherheitssysteme zu umgehen. So wurde die App auf Handys beispielsweise erst nach 2 Stunden aktiv und erregte so weniger Aufmerksamkeit.
Der Trojaner wurde dabei zum ersten Mal am 13. Oktober entdeckt und von Google in der letzten Version erst am 17. November aus dem Store entfernt. Die manipulieren Apps waren also eine längere Zeit online. Wer in dieser Zeit Apps dieser Form geladen hat, sollte prüfen, ob diese noch online zu finden sind und sie unter Umständen durch Versionen ersetzen, die es nach wie vor im Google Play Store gibt.
Mobilfunk-Newsletter: Einmal pro Woche die neusten Informationen rund um Handy, Smartphones und Deals!
Unser kostenloser Newsletter informiert Sie regelmäßig per E-Mail über Produktneuheiten und Sonderaktionen. Ihre hier eingegebenen Daten werden lediglich zur Personalisierung des Newsletters verwendet und nicht an Dritte weitergegeben. Sie können sich jederzeit aus dem Newsletter heraus abmelden. Durch Absenden der von Ihnen eingegebenen Daten willigen Sie in die Datenverarbeitung ein und bestätigen unsere Datenschutzerklärung.
Immer die aktuellsten Nachrichten direkt im Smartphone.
Unsere Kanäle gibt es kostenlos hier:
Telegram: Appdated Telegram Channel
Facebook: Appdated Facebook Seite
Twitter: Appdated Twitter Channel
Technikaffin seit den Zeiten von Amiga 500 und C64 – mittlerweile aber eher mit deutlichem Fokus auf die Bereich Mobilfunk und Telekommunikation. Die ersten Artikel im Telco Bereich habe ich bereits 2006 geschrieben, seit dem bin ich dem Thema treu geblieben und nebenbei läuft mittlerweile auch noch ein Telefon- und Smartphone Museum um die Entiwcklung zu dokumentieren.