Mobile-Banking-Trojaner für Android greift Zugangsdaten ab

Verbreitung erfolgt über gefährliche Webseiten

Kaspersky berichtet davon, eine neue Variante des im vergangenen Herbst aufgetauchten Mobile-Banking-Trojaners Svpeng entdeckt zu haben. Damals kam der Trojaner über Google-AdSense-Anzeigen von Kriminellen auf das Android-Smartphone, dieses Mal über gefährliche Webseiten, die eine Flash-Player-App versprechen. Dabei sichert sich der Schädlich die Erlaubnis zur Nutzung der Zugangsdienste. Die Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Anwender, die nicht mit dem Gerät interagieren können, zu unterstützen. Erhält der Trojaner darauf Zugriff, kann er über eine Keylogger-Funktion eingegebenen Text wie Banking-Zugangsdaten abgreifen.

Über die Rechte, die der Schädling sich selbst sichert, kann er laut Kaspersky sogar die eigene Deinstallation verhindern. Dazu sichert er sich weitgehende Administratorrechte. Darüber hinaus kann der modifizierte Svpeng-Trojaner sich sogar als Standard-SMS-App installieren und damit SMS versenden und empfangen, Anrufe tätigen und Kontakte auslesen. Laut Kaspersky funktioniert die Schadsoftware auch auf den neuesten Android-Versionen, auch wenn die neuesten Sicherheitsupdates installiert sind.

Bisher seien die Angriffszahlen noch gering, da der Trojaner noch nicht weit verbreitet sei. Kaspersky Internet Security for Android kann den Trojaner bereits erkennen und unschädlich machen. Die Experten warnen davor, Apps aus unseriösen Quellen außerhalb des Play Store zu installieren.

Sicherheit

11.11.2016 16:15

Banking-Trojaner infizierte Android-Geräte über Google AdSense

Eine große Anzahl an Android-Nutzern wurden von einem Banking-Trojaner infiziert, der sich über Google AdSense-Anzeigen verbreitete.

Von Paul Miot-Paschke

Der Android-Trojaner infizierte Android-Geräte über Google AdSense-Anzeigen. (Symbolfoto) Der Android-Trojaner infizierte Android-Geräte über Google AdSense-Anzeigen. (Symbolfoto)
Foto: dpa John Snow vom Softwareunternehmen Kaspersky informiert in einem Blogeintrag über Fälle, in denen Google AdSense-Anzeigen von Kriminellen zum Download des Banking-Trojaners Svpeng.q missbraucht wurden. Dieser verbreitete sich durch gepostete Banner, welche wiederum einen automatischen Download des Installationspakets von Svpeng.q mithilfe eines verborgenen Skripts starteten. Eigentlich sollte Chrome User davor warnen, wenn eine potentiell gefährliche Datei aus dem Internet heruntergeladen wird. Aus diesem Grund wurde von den Kriminellen eine spezielle Funktion genutzt, die dazu führte, dass der Trojaner teilweise heruntergeladen wurde und somit das Warnsystem umging.

Trojaner wurde für Android geschrieben

Der Android-Trojaner infizierte Android-Geräte über Google AdSense-Anzeigen. (Symbolfoto) Der Android-Trojaner infizierte Android-Geräte über Google AdSense-Anzeigen. (Symbolfoto)
Foto: dpa Snow zufolge wurde das Script so eingestellt, dass es nur agierte, wenn es auf Geräten mit Touchscreen und nur über den Chrome-Browser gestartet wurde. Außerdem wurde der Trojaner für Android geschrieben.

Insgesamt unterscheidet sich der Schädling nicht sehr von anderen seiner Sorte. Die Hauptfunktion ist es, Interfaces von mobilen Banken mit einer falschen Benutzeroberfläche zu verdecken, Daten von Kreditkarten zu kopieren und die Daten an Kriminelle zu verschicken. Diese verwendeten die Daten dann um Opfer zu bestehlen. Einem englischsprachigen Blogeintrag von Kaspersky zufolge waren ausschließlich Nutzer in Russland und Ländern der Gemeinschaft unabhängiger Staaten betroffen.

Patch für Chrome erstellt

Nachdem Kaspersky seine Ergebnisse Google mitgeteilt hatte, erstellten Entwickler einen Patch, mit dem Chrome ausgebessert wurde. Generell ist anzumerken, dass die Infektion bei Svpeng.q nicht automatisch geschieht, sondern zuerst eine Installation stattfinden muss. In diesem Kontext täuscht die Installationsdatei einen Namen vor, bei dem der Eindruck entstehen könnte, es handele sich um ein legitimes Anwendungsupdate.

Der Blogentrag nennt folgende Tipps, um sich zu schützen:

Öffnen Sie niemals Dateien, von denen Sie nicht wissen, wie sie auf Ihr Gerät gekommen sind. Nur weil eine Datei android_update.apk heißt, bedeutet das nicht, dass sie ein Systemupdate enthält. Sie finden heraus, ob das System ein legitimes Update hat, indem Sie die Geräteinformationen unter Einstellungen überprüfen.
Genehmigen Sie keine Installation von Apps von Stores Dritter. Jedes Android-Gerät enthält diese Einstellung. So stoppt das System eine Installation solcher Pseudo-Updates, sollten Sie versehentlich eingestimmt haben.
Installieren Sie echte Updates, sobald sie zur Verfügung stehen. Aktualisieren Sie außerdem so bald wie möglich Google Chrome auf all Ihren Android-Geräten. Ein Update geht schnell und kann Ihnen Zeit, Ärger und sogar Geld sparen.
Verwenden Sie Antivirusschutz auf all Ihren Geräten. In Fällen wie diesem kann eine Echtzeit-Sicherheitslösung den User schützen - im Gegensatz zu einem On-Demand-Antivirus-Scanner, der manuell gestartet werden muss. Svpeng.q weiß, wie die Prozesse von Sicherheitslösungen abgebrochen werden können, also würde der Scanner erst gar nicht gestartet werden.

Auch Mac-Nutzer von Schädling betroffen

Auch Mac-Nutzer hatten mit einem Schädling über Google AdSense zu kämpfen. Wie heise.de mit Bezug auf das Sicherheitsunternehmen Cylance berichtete, bekamen Nutzer, die nach dem Google-Browser Chrome suchten, im Rahmen einer Kampagne eine Anzeige präsentiert, die anstelle des Browsers letzten Endes Schadsoftware auf den Rechner herunterlud. Heise zufolge hat Google die Werbung mittlerweile von der Website genommen.

Generell ist zum empfehlen, Software immer über die offiziellen Webseiten der Anbieter herunterzuladen und nicht über Drittquellen.

Mobile-Banking-Trojaner für Android greift Zugangsdaten ab

Trojaner wurde für Android geschrieben

Patch für Chrome erstellt

Auch Mac-Nutzer von Schädling betroffen

Mehr zum Thema Trojaner