ESET warnt nun vor dieser Android-Malware, die sich in einem Flash Player verbirgt. Hauptziel scheint das Ausspähen von Log-in-Daten für das Online-Banking zu sein. Daneben können aber auch SMS an Kontrollserver weitergeleitet werden. Unter der Umgehung der Zwei-Faktor-Authentifizierung ist damit auch der Zugang zu anderen Anbietern wie Google oder Paypal möglich.
Die Malware Android/Spy.Agent.SI wurde bisher nur in der Türkei, Australien und Neuseeland für Angriffe auf Bankkunden genutzt. Allerdings warnen die ESET-Spezialisten davor, dass aufgrund der Konzeption und Natur der Malware diese auch in Europa aktiv wird.
Malware tarnt sich als Flash Player
Die Malware Android/Spy.Agent.SI tarnt sich als Flash Player. Dabei werden die modifizierten .apk-Dateien stündlich von anderen URLs aus bereitgestellt. Offensichtlich ein Versuch, die Scanner von Antiviren-Programmen zu täuschen. Nach der Installation fordert die Malware Administrator-Rechte, die bei Erlangung eine Deinstallation verhindern.Außerdem stellt sie dann eine mit Base 64 (Verfahren zur Codierung von Binärdaten) gesicherte Verbindung zu einem Kontrollserver her, dem sie auch Geräteinformationen wie die IMEI-Nummer und die SDK-Version übermittelt. Ihr eigentliches Ziel nimmt sie dann ins Visier: Sie untersucht, welche Banking-Apps auf dem Android-Smartphone installiert sind und sendet diese Information ebenfalls an den Remote-Server, der sie dann mit aktuell 49 Ziel-Apps abgleicht.
Wird nun eine Banking-App geöffnet erscheint ein falsches Log-in-Fenster. Trägt der Nutzer dann hier seine Log-in-Daten ein, gelangen Informationen an einen Server der Kriminellen. Da die Malware zudem alle eingehenden SMS-Nachrichten an diesen Server weiterleiten kann, ist sie auch in der Lage, die Zwei-Faktor-Authentifizierung zu umgehen.
