Android: Open-Source-Bankentrojaner immer wieder im Play Store

Seit Beginn dieses Jahres wird der Bankbot-Trojaner zum Kopieren von Zugangsdaten von mehr als 400 Banken-Apps immer wieder im Play Store für Android angeboten. Google hat offenbar Probleme damit, die Signatur der Malware automatisiert zu entdecken. Wie Bleeping Computers berichtet, hat der Trojaner noch einige Zusatzfunktionen.

Der Trojaner basiert den Untersuchungen von Eset und Securify zufolge auf im vergangenen Dezember veröffentlichten Quellcode. Dieser wurde offenbar von einem unzufriedenen Kunden in einem russischen Untergrund-Marktplatz für Malware veröffentlicht. Öffentlich verfügbarer Quellcode führt bei Bankentrojanern, wie auch bei Ransomware, zu zahlreichen Nachahmern. Die erste Kampagne fand im Januar 2017 statt, mittlerweile sind erneut infizierte Apps veröffentlicht worden.

Der Trojaner wurde zunächst in Russland eingesetzt, aber im Quellcode sind auch Referenzen zu mehr als 400 internationalen Banken in Großbritannien, Österreich, der Türkei und Deutschland enthalten. In Deutschland werden unter anderem die Commerzbank und die Postbank per Overlay-Fenster imitiert. Seit Android 6 verhindert das Betriebssystem die unkontrollierte Ausführung von Overlay-Fenstern, Nutzer können diese aber manuell zulassen.

Ein Screenshot der Oberfläche des angeblichen Command-and-Control-Servers der Software legt nahe, dass die Malware die meisten Geräte auch Rooten kann. Genauere Informationen dazu liefert Bleeping Computers aber nicht.

Apps aus dem Play Store entfernt

Aktuell wurden die verschiedenen Trojaner-Versionen in Apps mit dem Namen Funny Videos 2017 und Happy Times Videos verbreitet. Bevor Google die Apps entfernte, wurden diese bis zu 5.000 mal heruntergeladen.

Bankbot versucht auch, Zugangsdaten zu Nicht-Bank-Apps wie Facebook, Youtube, Whatsapp, Instagram und Twitter abzugreifen. Außerdem soll der Trojaner den Zugang zum Bildschirm sperren können und gezielt eingehende SMS nach Zugangsdaten für eine 2-Faktor-Verifikation durchsuchen.