BankBot ist zurück: Trojaner bedroht Bank Kunden

  • Allgemein
  • BankBot ist zurück: Trojaner bedroht Bank Kunden

    Android-Malware
    BankBot ist zurück: Trojaner bedroht Kunden deutscher Banken
    Eine neue Variante des BankBot Trojaners wurde im Google Play Store entdeckt. Er nimmt auch Nutzer deutscher Banken ins Visier.

    Bereits vier frühere Versionen des Trojaners BankBot, die sich in Android-Apps verstecken, hat Google aus dem Play Store entfernt. Doch nun wurde erneut eine abgeänderte Version der Malware in verschiedenen Apps entdeckt, die es durch die Schutzmauer von Google Play Protect geschafft hat.

    So geht BankBot vor

    Wie Sicherheitsforscher von ESET, Avast und SdyLabs in einer gemeinsamen Analyse berichten, versteckte sich die aktuelle Welle von BankBot-Trojanern in unscheinbaren Apps wie Taschenlampen ("Tornado", "Lamp for DarkNess") oder Casual-Games ("Spider Solitare", "Classic Solitaire", "Solitaire"), die Google in der Zwischenzeit entfernt hat. Wurden diese vom Opfer installiert, lud die App die eigentliche Malware nach. Dabei spekulieren die Angreifer in der aktuellen BankBot-Variante darauf, dass unachtsame Nutzer die Installation von Apps abseits des Play Store dauerhaft erlauben. Ist diese Sperre aktiviert, ist der Nutzer geschützt.
    Andernfalls wird der Nutzer zur Installation der BankBot-Malware aufgefordert - unter kryptischem Namen natürlich. Bestätigt er die Abfrage, wird der Trojaner installiert. BankBot sucht anschließend basierend auf einer Liste von 160 Apps nach lohnenswerten Zielen auf dem Smartphone. Von diesen versucht er nun Login-Daten zu stehlen und kann dafür auch gefälschte Eingabefenster anzeigen. Sogar SMS zur 2-Faktor-Authentifizierung kann die Malware abgreifen.

    Auf diese Banken zielt der Trojaner

    Die Apps auf der Ziel-Liste von BankBot sind hauptsächlich Finanzdienstleister. Darunter befinden sich auch die Apps zahlreicher deutscher Banken. Wir entdeckten in der Aufzählung etwa die Apps von Deutsche Bank, Norisbank, Postbank, Commerzbank, ING DiBa, Comdirect, 1822direkt, DKB, Volksbanken Raiffeisenbanken und Sparda-Bank. Daneben befinden sich Banken-Apps aus zahlreichen weiteren Ländern auf der Liste.
    Auffällig ist laut den Sicherheitsforschern, dass die neue Trojaner-Version nicht mehr wie in früheren BankBot-Varianten die Bedinungshilfen-Funktionen von Android ausnutzt, um dem Opfer die Malware-Pakete unterzujubeln. Hier hatte Google im November 2017 alle Android-Entwickler dazu ermahnt, den Accessibility Service nur für Apps einzusetzen, die wirkliche Bedinungshilfen etwa für Blinde bieten. Allen anderen Apps droht der Rauswurf aus dem Play Store. Der neue BankBot-Variante wurde also offenbar entworfen, um diese Hürde zu umgehen.

    Wie kann ich mich schützen?

    Um sich vor Trojanern wie BankBot zu schützen, sollte man vor allem zwei Vorsichtsmaßnahmen treffen. Zum einen sollte man stets genau prüfen, welche Apps man installiert und etwa Nutzerbewertungen lesen. Zum anderen sollte in den Android-Einstellungen unter "Sicherheit" stets die Installation von Dateien aus anderen Quellen als dem Play Store deaktiviert werden bzw. nur für die Installation vertrauenswürdiger APKs kurzzeitig aktiviert werden.

    21.11.2017 von Manuel Medicus


    Quelle: BankBot ist zurück: Trojaner bedroht Kunden deutscher Banken - connect





    Trojaner nimmt Raiffeisen- und UBS-Kunden ins Visier
    Der Banking-Trojaner «BankBot» hat es auf Schweizer Raiffeisen- und UBS-Kunden abgesehen. Android-User – aufgepasst!
    von Luca Perler 22.11.2017

    Über vermeintlich harmlose Taschenlampen-, Optimierungs- und Solitaire-Spiele-Apps ist es Cyberkriminellen gelungen, den Banking-Trojaner «BankBot» in den Google Play Store zu schleusen. Das haben Sicherheitsforscher von Avast, Eset und SfyLabs in einer gemeinsamen Untersuchung herausgefunden. Die Schad-Software hat es auf das Geld von Mobile-Banking-Kunden abgesehen und greift dazu deren Zugangsdaten ab, indem sie die Nutzeroberfläche gängiger Banking-Apps manipuliert.
    In der Schweiz konzentriere sich die Attacke auf Kundinnen und Kunden der Raiffeisen und der UBS, wie aus einem Blog-Beitrag von Avast hervorgeht. Weltweit seien allerdings insgesamt etwa 160 Banken zum Angriffsziel der Cyberkriminellen geworden. In Deutschland sind unter anderem die Citibank, Comdirekt oder die Commerzbank betroffen, in Österreich die BAWAG sowie die Sparda-Bank.

    So räumt der «BankBot» Konten leer

    Der Banking-Trojaner gelangt zunächst als vermeintlich vertrauenswürdige App auf die Geräte der Nutzer. Sobald der «BankBot» den Start einer Banking-App registriert, legt die Malware eine gefälschte Anmeldeseite über die jeweilige Anwendung. Die dort eingegangenen Anmeldedaten landen anschliessend auf den Servern der Kriminellen. Auch SMS-TANs sollen vom Schadprogramm abgefangen werden, um direkt Banküberweisungen im Namen des Nutzers durchzuführen.
    Für die Ausführung dieser Vorgänge ist BankBot allerdings auf Administratorrechte angewiesen. Darüber hinaus muss der Nutzer für eine erfolgreiche Attacke eine Installation aus unbekannten Quellen erlauben, damit die Apps den eigentlichen Schadcode nachladen können. Google entfernte kürzlich ältere «BankBot»-Apps aus dem Play Store, dennoch seien Tausende Geräte infiziert worden. Denn mehrere Versionen seien bis zum 17. November aktiv geblieben, heisst es in der Pressemitteilung weiter.

    Aufmerksamkeit ist gefragt

    Um sich vor dem «BankBot» und weiteren Schädlingen zu schützen, empfehlen die Sicherheitsexperten, bei der Nutzung von Banking-Apps auf auffällige Veränderungen der Nutzeroberfläche zu achten. Zudem biete sich – soweit verfügbar – die Absicherung der Anwendungen über eine Zwei-Faktor-Authentifizierung (2FA) an. Ausserdem sollten Nutzer nur Anwendungen aus vertrauenswürdigen Quellen wie dem Google Play Store oder dem Open-Source-Shop F-Droid herunterladen. Um sich vor dem «BankBot» und anderen Banking-Trojanern zu schützen, raten die Experten zudem, auf mobilen Geräten eine Sicherheits-App zu installieren.
    Im Falle des «BankBots» gelang es den Cyberkriminellen, die Sicherheitsscans von Google mit der Veröffentlichung der Apps unter verschiedenen Entwicklernamen zu umgehen. Zudem wurde der Trojaner auf befallenen Geräten sehr schnell aktiv. Bereits zwei Stunden, nachdem ihm Opfer Administratorenrechte erteilten, habe er damit begonnen, schädliche Aktivitäten auszuführen. Wenn eine App weitreichende Zugriffsrechte einfordere, sei deshalb generell äusserste Vorsicht geboten, schreibt Avast abschliessend.


    Quelle: Trojaner nimmt Raiffeisen- und UBS-Kunden ins Visier