Android-Banking-Malware
Google Play Store: Banking-Trojaner BankBot gefunden
Die Malware BankBot hat sich in der Android-Spiele-App Jewels Star Classic versteckt und nach der Installation Kreditkartendaten abgegriffen.
Im Google Play Store ist der Banking-Trojaner BankBot erneut aufgetaucht. Er hatte bereits Anfang des Jahres sein Unwesen getrieben und soll sich nun in der Spiele-App Jewels Star Classic des Entwicklers GameDevTony versteckt haben (siehe Bild oben). Einmal installiert greift er die Kreditkartendaten der Nutzer ab. Bevor die App aus dem Play Store entfernt wurde, konnte sie bis zu 5.000 Mal heruntergeladen werden.
Malware BankBot tarnt sich als Google Service
Entdeckt hat die Malware das Unternehmen ESET, das die Sicherheitssoftware ESET Internet Security herstellt. Auf ihrem Blog welivesecurity berichtet das Unternehmen über die Wirkungsweise des Trojaners. So erhalten die Betroffenen nach dem Download ein vollfunktionsfähiges Android-Spiel. Der Trojaner BankBot versteckt sich in der Software der Anwendung und tritt erst 20 Minuten nach Installation in Erscheinung.
Dann nämlich zeigt sich ein Fenster, über das der Betroffene einen Google Service aktivieren soll. Nur mit Tippen auf einen OK-Button verschwindet die Meldung wieder. Eine offensichtliche Verbindung zum Spiel gibt es dabei nicht. Hat der Nutzer auf OK getippt, wird er in die Android-Einstellung weitergeleitet, wo er den von der Malware erstellten Google Service aktivieren muss. Um die Täuschung perfekt zu machen, zeigt der Trojaner vorher sogar echte AGB von Google an.
Wer den Service aktiviert hat, gewährt dem Trojaner einige Systemberechtigungen, durch die die eigentliche Malware ausgeführt werden kann. Hinter einem Update-Screen verschleiert der Trojaner die Ausführung der Malware, die im Hintergrund den BankBot installiert und ihm verschiedene Berechtigungen gewährt. Öffnet der Betroffene nun das nächste Mal die App des Google Play Store, fragt BankBot die Kreditkartendaten des Nutzers ab. Außerdem fängt er eingehende SMS ab und kann somit sogar Zwei-Faktor-Authentifizierungen umgehen, um Bezahlungen zu tätigen.
Lesetipp: Malware ExpensiveWall infiziert 50 Android-Apps
Wie werde ich BankBot wieder los?
Möglicherweise ist das jetzt entdeckte Jewels Star Classic nicht die einzige infizierte App. Man sollte also überprüfen, ob das Smartphone infiziert ist, auch wenn man diese App nicht installiert hat. Wer in den Android-Einstellungen unter „Anwendungen“ eine App namens „Google Update“ findet, hat einen ersten Hinweis. Auch ein Geräteadministrator mit dem Namen „System update“ ist ein Hinweis auf eine Infizierung. Den Eintrag findet man in den Einstellungen unter „Gerätesicherheit“ > „Andere Sicherheitseinstellungen“ > „Geräteadministratoren“. Natürlich weist auch die wiederkehrende Einblendung der "Google Service"-Nachricht auf den BankBot hin. Ist die Anwesenheit von BankBot bestätigt, sollte man zuerst dem Administrator „System update“ die Rechte entziehen und danach sowohl die App Google Update als auch die infizierte App deinstallieren.
Weiter zur Startseite
