Auch deutsche Nutzer betroffen: Neue Android-Malware zielt auf Bankdaten und mehr
Sicherheitsforscher von Cleafy haben eine neue Android-Malware namens Droidbot entdeckt, mit der es Angreifer auf Nutzerdaten von 77 verschiedenen Apps abgesehen haben – darunter solche von Kryptobörsen und Banken. Wie aus einem Bericht der Forscher(öffnet im neuen Fenster) hervorgeht, reichen die Angriffe quer durch Europa. Besonders stark betroffen sind Spanien, Frankreich, Italien und die Türkei. Aber auch deutsche Nutzer bleiben nicht verschont.
Entdeckt wurde Droidbot den Angaben nach erst Ende Oktober. Jedoch fanden die Forscher Hinweise darauf, dass der Remote Access Trojaner(öffnet im neuen Fenster) (RAT) schon mindestens seit Juni 2024 im Einsatz ist. Die meisten Entwickler hinter der Malware scheinen laut Cleafy türkischsprachig zu sein. Verbindungen zu anderen bekannten Malware-Familien konnte das Forscherteam bisher nicht feststellen.
Bei Droidbot soll es sich um eine MaaS-Operation (Malware as a Service) handeln, die von mindestens 17 verschiedenen Akteuren genutzt wird. Einige davon scheinen sich sogar eine gemeinsame Kommunikationsinfrastruktur zu teilen, was auf eine mögliche Zusammenarbeit hindeutet. Laut Cleafy wird für den Einsatz der Malware eine monatliche Gebühr in Höhe von 3.000 US-Dollar fällig.
Malware getarnt als legitime App
Unterschiede im Code mehrerer von den Sicherheitsforschern untersuchter Proben deuten auf eine aktive Weiterentwicklung der Schadsoftware hin. Teilweise gibt es darin wohl Platzhalter für Funktionen, die noch nicht implementiert wurden. Die Verbreitung von Droidbot erfolgt nach Angaben der Forscher über Apps, die als vermeintliche Sicherheitsanwendungen , Google-Dienste oder populäre Banking-Apps getarnt sind.
Unter Missbrauch der Accessibility Services von Android erhalten die Angreifer weitreichende Möglichkeiten, um mit den infiltrierten Geräten zu interagieren und Daten abzugreifen. Dadurch kann Droidbot auch SMS abgreifen, in denen häufig TANs oder andere Zugangscodes zur Umgehung von Zwei-Faktor-Authentifizierungen zu finden sind.
Droidbot erlaubt auch eine Fernsteuerung
Zudem kann die Malware Bildschirminhalte und Tastatureingaben aufzeichnen und diese an den jeweiligen Angreifer übermitteln, um sensible Informationen wie Zugangsdaten, persönliche Daten oder Kontostände zu exfiltrieren. Anmeldedaten lassen sich durch das Einblenden gefälschter Log-in-Seiten auch per Overlay-Angriff abgreifen. Und auch eine Fernsteuerung infizierter Android-Geräte ist möglich.
Anwender, die sich vor einer Infektion mit Droidbot schützen wollen, sollten darauf achten, Apps nur aus vertrauenswürdigen Quellen wie etwa dem Google Play Store zu installieren. Darüber hinaus lohnt es sich, bei der Abfrage fragwürdiger Berechtigungen durch installierte Apps skeptisch zu bleiben und diese im Zweifel abzulehnen. Einen zusätzlichen Schutz bietet zudem Play Protect, das auf Android-Geräten aktiviert sein(öffnet im neuen Fenster) sollte.
- Anzeige Hier geht es zu Kryptowährungen - Investments in Bitcoin & Altcoins bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.