Warnung vor Bankentrojaner in Googles Playstore

Bankbot-Trojaner im Play Store

Der Bankbot-Trojaner zum Kopieren von Zugangsdaten von mehr als 400 Banken-Apps wurde immer wieder im Play Store für Android angeboten, wie golem.de unter Berufung auf Erkenntnisse von Bleeping Computer berichtet. Offensichtlich stellt es für Google ein Problem dar, die Signatur der Malware automatisiert zu entdecken.

Laut Untersuchungen von ESET und Securify liegt der Malware ein im vergangenen Dezember veröffentlichter Quellcode zu Grunde. Wie es weiter dazu heißt, soll dieser offenbar von einem unzufriedenen Kunden in einem russischen Untergrund-Marktplatz für Malware veröffentlicht worden sein. Eine erste Kampagne dieser Art soll schon im Januar stattgefunden haben. Zwischenzeitlich sind nun erneut infizierte Apps veröffentlicht worden.

Overlay-Fenster imitieren Banken

Nach ersten Einsätzen in Russland sind im Quellcode auch Referenzen zu mehr als 400 internationalen Banken in Großbritannien, Österreich, der Türkei und Deutschland enthalten. Mittels Overlay-Fenster werden dabei Banken imitiert. In Deutschland werden unter anderem die Commerzbank und die Postbank auf diese Weise benutzt. Das Betriebssystem seit Android 6 verhindert zwar die unkontrollierte Ausführung von Overlay-Fenstern, Nutzer können diese aber manuell zulassen.

Wie es weiter dazu heißt, ergab ein Screenshot der Oberfläche des angeblichen Command-and-Control-Servers der Software, dass die Malware die meisten Geräte auch Rooten kann.

Bankbot auch in sozialen Netzwerken aktiv

Die Google Apps, die unter dem Namen Funny Videos 2017 und Happy Times Videos verbreitet wurden sind zwischenzeitlich entfernt worden. Nun soll Bankbot auch versuchen Zugangsdaten zu Nicht-Bank-Apps wie Facebook, Youtube, Whatsapp, Instagram und Twitter abzugreifen. Daneben soll der Trojaner den Zugang zum Bildschirm sperren können und gezielt eingehende SMS nach Zugangsdaten für eine 2-Faktor-Verifikation durchsuchen.