Android: Open-Source-Bankentrojaner immer wieder im Play Store

Wer Quellcode für Malware offenlegt, erweist der Gesellschaft meist keinen großen Dienst. Im vergangenen Dezember veröffentlichter Code wird jetzt für einen Bankentrojaner genutzt, der im Play Store verbreitet wird.

Artikel veröffentlicht am ,
Bankbot imitiert zahlreiche Banken - auch aus Deutschland.
Bankbot imitiert zahlreiche Banken - auch aus Deutschland. (Bild: Securify)

Seit Beginn dieses Jahres wird der Bankbot-Trojaner zum Kopieren von Zugangsdaten von mehr als 400 Banken-Apps immer wieder im Play Store für Android angeboten. Google hat offenbar Probleme damit, die Signatur der Malware automatisiert zu entdecken. Wie Bleeping Computers berichtet, hat der Trojaner noch einige Zusatzfunktionen.

Stellenmarkt
  1. Embedded Firmware Entwickler (m/w)
    IoT Invent GmbH, Ismaning
  2. Softwareentwickler (m/w/d)
    Comprion GmbH, Paderborn
Detailsuche

Der Trojaner basiert den Untersuchungen von Eset und Securify zufolge auf im vergangenen Dezember veröffentlichten Quellcode. Dieser wurde offenbar von einem unzufriedenen Kunden in einem russischen Untergrund-Marktplatz für Malware veröffentlicht. Öffentlich verfügbarer Quellcode führt bei Bankentrojanern, wie auch bei Ransomware, zu zahlreichen Nachahmern. Die erste Kampagne fand im Januar 2017 statt, mittlerweile sind erneut infizierte Apps veröffentlicht worden.

Der Trojaner wurde zunächst in Russland eingesetzt, aber im Quellcode sind auch Referenzen zu mehr als 400 internationalen Banken in Großbritannien, Österreich, der Türkei und Deutschland enthalten. In Deutschland werden unter anderem die Commerzbank und die Postbank per Overlay-Fenster imitiert. Seit Android 6 verhindert das Betriebssystem die unkontrollierte Ausführung von Overlay-Fenstern, Nutzer können diese aber manuell zulassen.

Ein Screenshot der Oberfläche des angeblichen Command-and-Control-Servers der Software legt nahe, dass die Malware die meisten Geräte auch Rooten kann. Genauere Informationen dazu liefert Bleeping Computers aber nicht.

Apps aus dem Play Store entfernt

Golem Karrierewelt
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.06.2022, Virtuell
Weitere IT-Trainings

Aktuell wurden die verschiedenen Trojaner-Versionen in Apps mit dem Namen Funny Videos 2017 und Happy Times Videos verbreitet. Bevor Google die Apps entfernte, wurden diese bis zu 5.000 mal heruntergeladen.

Bankbot versucht auch, Zugangsdaten zu Nicht-Bank-Apps wie Facebook, Youtube, Whatsapp, Instagram und Twitter abzugreifen. Außerdem soll der Trojaner den Zugang zum Bildschirm sperren können und gezielt eingehende SMS nach Zugangsdaten für eine 2-Faktor-Verifikation durchsuchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


jak 18. Apr 2017

Würden wir auch sagen, Windows ist Open Source, nur weil jemand den Code leakt? Nein...

jak 18. Apr 2017

Es geht doch hier in dem Thread gar nicht um das beheben der Fehler, sondern darum, das...

PlonkPlonk 18. Apr 2017

genau ... und niemand anderes bekommt kyrillische schriftzeichen in seine...

ve2000 18. Apr 2017

Natürlich wieder mal keine Quelle. Somit halte ich das ganze auch, bestenfalls, für...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /