Bratislava/Jena, 11. März 2016 - Dem europäischen Security-Software-Hersteller ESET ist jetzt ein Banking-Trojaner für Android ins Netz gegangen, der als Flash Player getarnt sensible Login-Daten für das Online-Banking ausspäht. Bisher beschränken sich die Aktivitäten der Malware zwar auf Banken in der Türkei, Australien und Neuseeland, mit einer Expansion in Richtung EU ist auf Grund der heimtückischen Konzeption jedoch zu rechnen.
So verläuft die Infektion mit Android/Spy.Agent.SI:
- Die Malware tarnt sich als Flash Player
- Die schadhaften .apk-Dateien werden stündlich unter anderen Ziel-URLs bereitgestellt, womöglich um die Scanner von Antiviren-Programmen zu täuschen
- Spy.Agent verlangt nach der Installation administrative Rechte, dies verhindert die Deinstallation.
- Werden die Rechte gewährt, wird eine mit base64 gesicherte Verbindung zu einem Command & Control-Server (C&C-Server) hergestellt und Geräteinformationen wie IMEI-Nummer und SDK-Version gesendet
- Es folgt eine Analyse der installierten Banking-Apps auf dem Android-Smartphone, die ebenso mit dem Remote-Server geteilt und mit aktuell 49 Ziel-Apps abgeglichen werden
So späht Spy.Agent die Banking-Logins der Opfer aus:
- Die Malware ist dazu in der Lage, Zwei-Faktor-Authentifizierung zu umgehen, indem alle eingehenden SMS-Nachrichten an den C&C-Server weitergeleitet werden
- Öffnet man die Banking-App tarnt sich die Malware und überlagert den Bildschirm mit einem Login-Fenster
- Dieser Prozess kann nicht beendet werden und fungiert wie ein Lockscreen
- Nach Eingabe der Login-Daten werden die Informationen an einen Server gesendet und der Prozess wird beendet
- Mit diesem tückischen Vorgehen können auch andere Zugangsdaten beispielsweise Google- oder PayPal-Logins abgegriffen werden
Um Smartphones vor einer Infektion zu schützen, empfiehlt ESET den Einsatz einer mobilen Antiviren-Lösung wie der ESET Mobile Security (in der Basisversion kostenfrei).