Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Android: Open-Source-Bankentrojaner immer wieder im Play Store

Wer Quellcode für Malware offenlegt, erweist der Gesellschaft meist keinen großen Dienst. Im vergangenen Dezember veröffentlichter Code wird jetzt für einen Bankentrojaner genutzt, der im Play Store verbreitet wird.
/ Hauke Gierow
14 Kommentare News folgen (öffnet im neuen Fenster)
Bankbot imitiert zahlreiche Banken - auch aus Deutschland. (Bild: Securify)
Bankbot imitiert zahlreiche Banken - auch aus Deutschland. Bild: Securify

Seit Beginn dieses Jahres wird der Bankbot-Trojaner zum Kopieren von Zugangsdaten von mehr als 400 Banken-Apps immer wieder im Play Store für Android angeboten. Google hat offenbar Probleme damit, die Signatur der Malware automatisiert zu entdecken. Wie Bleeping Computers berichtet(öffnet im neuen Fenster) , hat der Trojaner noch einige Zusatzfunktionen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Team-Lead IT (m/w/d) Wohnungsgenossenschaft Freiberg eG, Freiberg (öffnet im neuen Fenster)
Duales Studium zum Bachelor of Engineering Technisches Facility Management (w/m/d) Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)
IT-Leiter (m/w/d) Stadt Nürtingen, Nürtingen (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) R+W, Wörth am Main (öffnet im neuen Fenster)
Trainee (gn) Zertifizierung von Informationsmanagementsystemen (ISMS) GUT Certifizierungsgesellschaft mbH für Managementsysteme Umweltgutachter, Berlin (öffnet im neuen Fenster)
MES-Key-User / Systemadministrator (m/w/d) Diehl Defence GmbH & Co. KG, Überlingen (öffnet im neuen Fenster)
IXOS Profi (m/w/d) für den Außendienst PHARMATECHNIK GmbH & Co. KG, Berlin (öffnet im neuen Fenster)
Spezialist:in CRM und Datenmanagement (Vollzeit/Teilzeit) Sparkasse Düren, Düren (öffnet im neuen Fenster)

Der Trojaner basiert den Untersuchungen von Eset und Securify zufolge auf im vergangenen Dezember veröffentlichten Quellcode(öffnet im neuen Fenster) . Dieser wurde offenbar von einem unzufriedenen Kunden in einem russischen Untergrund-Marktplatz für Malware veröffentlicht. Öffentlich verfügbarer Quellcode führt bei Bankentrojanern, wie auch bei Ransomware, zu zahlreichen Nachahmern. Die erste Kampagne fand im Januar 2017 statt, mittlerweile sind erneut infizierte Apps veröffentlicht worden.

Der Trojaner wurde zunächst in Russland eingesetzt, aber im Quellcode sind auch Referenzen zu mehr als 400 internationalen Banken in Großbritannien, Österreich, der Türkei und Deutschland enthalten. In Deutschland werden unter anderem die Commerzbank und die Postbank per Overlay-Fenster imitiert. Seit Android 6 verhindert das Betriebssystem die unkontrollierte Ausführung von Overlay-Fenstern, Nutzer können diese aber manuell zulassen.

Ein Screenshot(öffnet im neuen Fenster) der Oberfläche des angeblichen Command-and-Control-Servers der Software legt nahe, dass die Malware die meisten Geräte auch Rooten kann. Genauere Informationen dazu liefert Bleeping Computers aber nicht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Apps aus dem Play Store entfernt

Aktuell wurden die verschiedenen Trojaner-Versionen in Apps mit dem Namen Funny Videos 2017 und Happy Times Videos verbreitet. Bevor Google die Apps entfernte, wurden diese bis zu 5.000 mal heruntergeladen.

Bankbot versucht auch, Zugangsdaten zu Nicht-Bank-Apps wie Facebook, Youtube, Whatsapp, Instagram und Twitter abzugreifen. Außerdem soll der Trojaner den Zugang zum Bildschirm sperren können und gezielt eingehende SMS nach Zugangsdaten für eine 2-Faktor-Verifikation durchsuchen.

Zur Startseite 14 Kommentare

Relevante Themen

SoftwareSecurityCybercrimeGoogleDatensicherheitVirusEsetMalware