Android-Malware

BankBot ist zurück: Trojaner bedroht Kunden deutscher Banken

Eine neue Variante des BankBot Trojaners wurde im Google Play Store entdeckt. Er nimmt auch Nutzer deutscher Banken ins Visier.

Bankbot Trojaner Android Malware

© St.Op. fotolia.com / SfyLabs / Montage: PC Magazin

Die Android-Malware Banbot lauerte in Apps wie diesem Taschenkampen-Tool.

Bereits vier frühere Versionen des Trojaners BankBot, die sich in Android-Apps verstecken, hat Google aus dem Play Store entfernt. Doch nun wurde erneut eine abgeänderte Version der Malware in verschiedenen Apps entdeckt, die es durch die Schutzmauer von Google Play Protect geschafft hat.

So geht BankBot vor

Wie Sicherheitsforscher von ESET, Avast und SdyLabs in einer gemeinsamen Analyse​ berichten, versteckte sich die aktuelle Welle von BankBot-Trojanern in unscheinbaren Apps wie Taschenlampen ("Tornado", "Lamp for DarkNess") oder Casual-Games ("Spider Solitare", "Classic Solitaire", "Solitaire"), die Google in der Zwischenzeit entfernt hat. Wurden diese vom Opfer installiert, lud die App die eigentliche Malware nach. Dabei spekulieren die Angreifer in der aktuellen BankBot-Variante darauf, dass unachtsame Nutzer die Installation von Apps abseits des Play Store dauerhaft erlauben. Ist diese Sperre aktiviert, ist der Nutzer geschützt.

Andernfalls wird der Nutzer zur Installation der BankBot-Malware aufgefordert - unter kryptischem Namen natürlich. Bestätigt er die Abfrage, wird der Trojaner installiert. BankBot sucht anschließend basierend auf einer Liste von 160 Apps nach lohnenswerten Zielen auf dem Smartphone. Von diesen versucht er nun Login-Daten zu stehlen und kann dafür auch gefälschte Eingabefenster anzeigen. Sogar SMS zur 2-Faktor-Authentifizierung kann die Malware abgreifen.

Auf diese Banken zielt der Trojaner

Die Apps auf der Ziel-Liste von BankBot sind hauptsächlich Finanzdienstleister. Darunter befinden sich auch die Apps zahlreicher deutscher Banken. Wir entdeckten in der Aufzählung etwa die Apps von Deutsche Bank, Norisbank, Postbank, Commerzbank, ING DiBa, Comdirect, 1822direkt, DKB, Volksbanken Raiffeisenbanken und Sparda-Bank. Daneben befinden sich Banken-Apps aus zahlreichen weiteren Ländern auf der Liste.

Auffällig ist laut den Sicherheitsforschern, dass die neue Trojaner-Version nicht mehr wie in früheren BankBot-Varianten​ die Bedinungshilfen-Funktionen von Android ausnutzt, um dem Opfer die Malware-Pakete unterzujubeln. Hier hatte Google im November 2017 alle Android-Entwickler dazu ermahnt, den Accessibility Service nur für Apps einzusetzen, die wirkliche Bedinungshilfen etwa für Blinde bieten. Allen anderen Apps droht der Rauswurf aus dem Play Store. Der neue BankBot-Variante wurde also offenbar entworfen, um diese Hürde zu umgehen.

Wie kann ich mich schützen?

Um sich vor Trojanern wie BankBot zu schützen, sollte man vor allem zwei Vorsichtsmaßnahmen treffen. Zum einen sollte man stets genau prüfen, welche Apps man installiert und etwa Nutzerbewertungen lesen. Zum anderen sollte in den Android-Einstellungen unter "Sicherheit" stets die Installation von Dateien aus anderen Quellen als dem Play Store deaktiviert werden bzw. nur für die Installation vertrauenswürdiger APKs kurzzeitig aktiviert werden.

Mehr lesen

Smartphone Sicherheit
Verschlüsselung, VPN, 2FA & Co.

Schotten dicht: Wir geben Tipps, wie Sie Ihr Android-Smartphone oder -Tablet bestmöglich gegen Angreifer und deren Malware absichern.

Mehr zum Thema

AdultSwine
Gefahr im Google Play Store

Vorsicht, Eltern! Ein Android-Schädling zeigt Popup-Werbung mit sexuellen Inhalten in Kinder-Apps. Mehr als 60 Anwendungen im Play Store sind…
Smartphone Sicherheit
Android-Malware

Einige Billig-Smartphones haben offenbar schon ab Werk einen Trojaner installiert. Eine Sicherheitsfirma hat über 40 betroffene Modelle identifiziert.
Whatsapp - Warnung vor Abofallen
WhatsApp-Kettenbrief

Ein Kettenbrief auf WhatsApp warnt vor einem Virus, der das Smartphone lahmlegen soll. Was steckt wirklich hinter dem Martinelli-Virus?
Smartphone Virus
Warnung vor Kryptomining-Kampagne

Bei zahlreichen Android-Geräten ist bereits bei der Auslieferung die ADB-Schnittstelle aktiviert. Diese wird wohl für Kryptomining missbraucht.
RAMpage Logo
Hardware-Bug

Ein aktueller Exploit bedroht möglicherweise alle Android-Smartphones, die seit 2012 im Umlauf sind. Was steckt hinter der RAMpage-Sicherheitslücke?
Alle Testberichte
1&1 Media-Center
connect Festnetztest 2018
Sehr gut bei Sprache, Internet und Web-Services, Verbesserungspotenzial bei Web-TV – aber kein Grund zu klagen bei 1&1 im Festnetztest 2018.
PŸUR LOGO
connect Festnetztest 2018
Pÿur nimmt 2018 erstmals an unserem connect Festnetztest teil, kann aber nicht ganz mit den anderen Kandidaten mithalten.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.