Verbreitung via Spam-Nachricht

Banking-Trojaner tarnt sich als Paypal-App

05.10.2015
Nutzer des Bezahldienstes Paypal und von verschiedenen Bankinstituten in Deutschland sind das Ziel eines aktuellen Angriffs: Über sorgfältig verfasste deutschsprachige Spam-Nachrichten werden Android-Nutzer zum Installieren eines angeblichen Paypal-Updates aufgefordert. Wer die Update-Aufforderung befolgt, installiert einen tückischen Banking-Trojaner auf seinem Gerät.
Über diese gut gemachte Spam-Mail wird die Malware verbreitet.
Foto: Trend Micro

Nutzer des Bezahldienstes Paypal sowie Kunden der Commerzbank, der ING Bank N.V. und der Postbank Berlin sind das Ziel eines aktuellen Angriffs, vor dem die Sicherheitsexperten von Trend Micro warnen. Über gut gemachte Spam-Nachrichten in deutscher Sprache fordern die Angreifer die Empfänger auf, ein Update der Paypal-App für Android zu installieren. Nutzer, die der Anweisung folgen, spielen jedoch den Banking-Trojaner AndroidOS_Marchcaban.HBT auf ihr Gerät, der Zugangsdaten zum Online-Account und eingehende SMS-Nachrichten abfangen kann.

Diese bösartige App werde nicht in Google Play gehostet, heißt es. Wenn ein Anwender die App herunterlädt und installiert, verlange sie die Zugriffsrechte eines Systemadministrators auf dem Gerät, um sich selbst unsichtbar zu machen und es dem Anwender so zu erschweren, sie wieder zu entfernen. Außerdem bitte sie um ungewöhnliche und verdächtige Berechtigungen wie etwa für das Ändern des Passworts für die Bildschirmsperre, für das Setzen von Passwortregeln, für das Sperren des Bildschirms und für das Verschlüsseln der gespeicherten Anwendungsdaten. Selbst wenn der Anwender die geforderten Berechtigungen des Geräteadministrators verweigert, verschwinde die bösartige App vom Start- und vom Hauptbildschirm, laufe aber im Hintergrund weiter, überwache die Aktivitäten auf dem mobilen Gerät und könne die Benutzeroberfläche kapern.

Die bösartige App fragt nach der Installation nach Admin-Rechten.
Foto: Trend Micro

"Sobald die Malware feststellt, dass die echte Paypal-App läuft, platziert sie eine gefälschte Oberflächenanzeige anstelle der echten. Dadurch übernimmt sie die Sitzung und stiehlt die Paypal-Zugangsdaten des betroffenen Anwenders", erläutern die Sicherheitsexperten in einem Blog-Beitrag. Darüber hinaus fange der Schädling SMS-Nachrichten ab und filtere sie, um die Anwender am Empfang von Nachrichten zu hindern, die den Schädling enttarnen könnten.

So schützen Sie sich vor mobilen Schädlings-Attacken

Neben Paypal hat es der Code des Banking-Trojaners auch auf Benutzer anderer Banking-Apps wie etwa von der Commerzbank abgesehen. "Wir haben mehr als 200 bösartige Apps gezählt, die alle zu dieser speziellen Malware-Familie gehören. Sie tragen unterschiedliche Bezeichnungen und einige davon haben nichts mit Banken zu tun. Stattdessen geben sie sich als Flash-Player-Apps, Spiele oder sogar als Apps für Erwachsene aus", berichtet Trend Micro. Die Sicherheitsexperten geben Android-Nutzern folgende Verhaltensregeln, damit diese eine Infektion ihres Geräts mit dem Schädling vermeiden.

powered by AreaMobile