Android-Banking-Malware

Google Play Store: Banking-Trojaner BankBot gefunden

Die Malware BankBot hat sich in der Android-Spiele-App Jewels Star Classic versteckt und nach der Installation Kreditkartendaten abgegriffen.

BankBot Trojaner in Jewels Star Classic

© welivesecurity

Der Banking-Trojaner BankBot soll sich in der Spiele-App Jewels Star Classic versteckt haben. Sie wurde über den Google Play Store bis zu 5.000 Mal heruntergeladen.

Im Google Play Store ist der Banking-Trojaner BankBot erneut aufgetaucht. Er hatte bereits Anfang des Jahres sein Unwesen getrieben und soll sich nun in der Spiele-App Jewels Star Classic des Entwicklers GameDevTony versteckt haben (siehe Bild oben). Einmal installiert greift er die Kreditkartendaten der Nutzer ab. Bevor die App aus dem Play Store entfernt wurde, konnte sie bis zu 5.000 Mal heruntergeladen werden.

Malware BankBot tarnt sich als Google Service

Entdeckt hat die Malware das Unternehmen ESET, das die Sicherheitssoftware ESET Internet Security herstellt. Auf ihrem Blog welivesecurity berichtet das Unternehmen über die Wirkungsweise des Trojaners. So erhalten die Betroffenen nach dem Download ein vollfunktionsfähiges Android-Spiel. Der Trojaner BankBot versteckt sich in der Software der Anwendung und tritt erst 20 Minuten nach Installation in Erscheinung. 

Dann nämlich zeigt sich ein Fenster, über das der Betroffene einen Google Service aktivieren soll. Nur mit Tippen auf einen OK-Button verschwindet die Meldung wieder. Eine offensichtliche Verbindung zum Spiel gibt es dabei nicht. Hat der Nutzer auf OK getippt, wird er in die Android-Einstellung weitergeleitet, wo er den von der Malware erstellten Google Service aktivieren muss. Um die Täuschung perfekt zu machen, zeigt der Trojaner vorher sogar echte AGB von Google an.          

Wer den Service aktiviert hat, gewährt dem Trojaner einige Systemberechtigungen, durch die die eigentliche Malware ausgeführt werden kann. Hinter einem Update-Screen verschleiert der Trojaner die Ausführung der Malware, die im Hintergrund den BankBot installiert und ihm verschiedene Berechtigungen gewährt. Öffnet der Betroffene nun das nächste Mal die App des Google Play Store, fragt BankBot die Kreditkartendaten des Nutzers ab. Außerdem fängt er eingehende SMS ab und kann somit sogar Zwei-Faktor-Authentifizierungen umgehen, um Bezahlungen zu tätigen.

Lesetipp: Malware ExpensiveWall infiziert 50 Android-Apps

Wie werde ich BankBot wieder los?

Möglicherweise ist das jetzt entdeckte Jewels Star Classic nicht die einzige infizierte App. Man sollte also überprüfen, ob das Smartphone infiziert ist, auch wenn man diese App nicht installiert hat. Wer in den Android-Einstellungen unter „Anwendungen“ eine App namens „Google Update“ findet, hat einen ersten Hinweis. Auch ein Geräteadministrator mit dem Namen „System update“ ist ein Hinweis auf eine Infizierung. Den Eintrag findet man in den Einstellungen unter „Gerätesicherheit“ > „Andere Sicherheitseinstellungen“ > „Geräteadministratoren“. Natürlich weist auch die wiederkehrende Einblendung der "Google Service"-Nachricht auf den BankBot hin. Ist die Anwesenheit von BankBot bestätigt, sollte man zuerst dem Administrator „System update“ die Rechte entziehen und danach sowohl die App Google Update als auch die infizierte App deinstallieren.

Mehr zum Thema

Android Malware - Sicherheit (Symbolbild)
Android-Malware "Judy"

Der Adware-Auto-Klicker-Vorus Judy klickt unerlaubt Werbeseiten an und bescherte so den Programmierern hunderttausende Dollar Gewinn.
CopyCat Adware
Android-Malware

Ein Virus namens CopyCat hat 14 Millionen Smartphones verseucht. Von der Malware betroffen sind vor allem ältere Geräte mit Android 5 und Android 4.
Smartphone Virus
Auch im Play Store

Forscher haben die Spyware SonicSpy in zahlreichen Android-Apps entdeckt - auch im Play Store. Die Malware greift Nutzerdaten ab.
Google Play Store Logo
Nach über 100 Millionen Downloads

Google entfernt über 500 Android-Apps aus dem Play Store, weil diese Nutzer ausspionieren. Die Spyware versteckt sich im Werbe-SDK Igexin.
Android-Trojaner-Symbolbild
Android-Malware im Play Store

Die Malware ExpensiveWall wurde ungehindert von Googles Play Protect bis zu 4,2 Millionen Mal heruntergeladen. Sie verschickt teure Premium-SMS.
Alle Testberichte
Samsung Galaxy Note 8 Front
Alles zu Preis, Verkaufsstart und Features
Das Samsung Galaxy Note 8 ist ein Smartphone der Superlative. Hier unser erster Test und alle Infos zu Preis, Verkaufsstart und Features.
Festnetztest Ewe Logo
connect Festnetztest 2017
Trotz Schwächen vor allem in der Sprachkategorie schneidet der Regionalanbieter EWE im Festnetztest 2017 gut ab. Lesen Sie hier das Testurteil.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.