VG-Wort Pixel

Android Vultur: So stiehlt ein Trojaner aus dem Play Store ihren Bank-Zugang

APT28 Fancy Bear Sofacy Hacker
Der Trojaner Vultur hat es auf Ihre Bankdaten abgesehen (Symbolbild)
© FangXiaNuo / Getty Images
Immer wieder versuchen Trojaner, Bank-Daten abzufischen. Ein neuer Schädling für Android-Smartphones macht es sich besonders leicht - und ist deshalb umso gefährlicher.  

Das Smartphone hat sich für die meisten Menschen längst zur digitalen Schaltzentrale ihres Lebens entwickelt. Selbst der Bankbesuch findet heute in der Regel über Apps statt. Das macht sich ein neuer Banking-Trojaner für Android-Smartphones zunutze: Er greift auf clevere Art Zugangsdaten ab. 

Vultur, wie der Schädling getauft wurde, bedient sich dazu eines besonderen Tricks: Er installiert ein eigentlich für Wartungsarbeiten gedachtes Ferndiagnosesystem (Virtual Network Computing, kurz VNC) auf dem Smartphone. Und kann dann einfach alle Eingaben in den installierten Banking-Apps mitlesen. 

Neue Strategie umgeht alte Hürden

Das ist eine bei Android-Trojanern bisher noch nicht beobachtete Strategie, betonen die Entdecker, die Experten von Threatfabric. Bisher hätten die Hacker versucht, die Daten mit gefälschten Log-In-Screens abzugreifen, die über die echten Apps gelegt wurden. "Das kostet normalerweise viel Zeit und Arbeit für die Akteure, weil sie zahlreiche Eingabemasken fälschen müssen, um die Nutzer auszutricksen. Stattdessen nehmen sie nun einfach auf, was auf dem Bildschirm gezeigt wird und bekommen quasi das gleiche Ergebnis." Dadurch ließen sich die Daten erstmal automatisiert und im großen Stil stehlen, fassen sie in einem Bericht zusammen. 

Auf das Smartphone gelangt der Schädling nicht aus dunklen Quellen, sondern durch die Vordertür. Die Angreifer versteckten ihn ausgerechnet in der vermeintlichen Schutzapp "Protection Guard", die dann in Googles Play Store angeboten wurde. Mindestens 5000 Personen haben die App installiert, sie ist mittlerweile nicht mehr im Play Store zu finden.

Digitaler Stress: 5 Gründe, warum unser Leben (zu) digital ist

Bisher sind vor allem Opfer in Italien, Spanien und Australien bekannt. Zu deutschen Opfern sagten die Experten bislang nichts. Als Banken waren unter zahlreichen anderen die ING, Santander und die italienische Tochter der Volksbank betroffen. Zudem wurden auch Kryptobörsen wie Coinbase sowie sogenannte Wallets, in denen digitale Währungen wie Bitcoin aufbewahrt werden, als Ziele identifiziert. 

Hacker denken um

Nach Ansicht der Experten deutet die neu entdeckte Schadsoftware auch auf eine Veränderung in der Szene hin. In den letzten Jahren hatte sich eine zunehmende Zahl von Kriminellen im Netz auf Schadprogramme verlassen, die von einer kleinen Gruppe entwickelt und dann in Szeneforen im Darknet vermietet werden. Man spricht von Malware-as-a-Service, kurz MaaS. Das aktuelle Vorgehen deute darauf hin, dass hier eine Verschiebung stattfinde, indem wieder mehr selbstentwickelte, genau auf die eigenen Anforderungen zugeschnittene Programme eingesetzt würden, so die Experten. 

Quellen:Threatfabric, Hacker News


Mehr zum Thema


Wissenscommunity


Newsticker