von Dennis Lenz •
Der Android-Trojaner BankBot hat es zum dritten Mal in den Google Play Store geschafft. Sogar das Prüflogo wurde von den Entwicklern der Malware gefälscht.
Obwohl laut Google die Sicherheitsvorkehrungen im Android Play Store durch Play Protect deutlich verbessert werden sollten, muss das Unternehmen nun schon zum dritten Mal eine App mit dem Trojaner BankBot entfernen. Im aktuellen Fall enthielt eine App die Kurse für Kryptowährungen liefert den Trojaner. Um das Vertrauen der Nutzer zu gewinnen, haben die Entwickler der App sogar das Prüflogo von Google Play Protect gefälscht.
BankBot hat das Ziel, Logindaten verschiedener Online-Banking- und Bezahl-Dienste zu stehlen. Die Technik ist einfach aber seit langem bewährt. Der Trojaner blendet beim Aufruf einer entsprechenden Webseite ein Overlag über den eigentlich Loginbereich ein, das sich von der realen Seite gar nicht oder nur minimal unterscheidet. Daten die dort von Nutzern eingegeben werden, werden direkt an den oder die Entwickler des Trojaners weitergeleitet.
Aufgrund der großen Anzahl unterstützter Banking-Apps kann BankBot die Phishing-Attacken individuell an den jeweiligen Nutzer anpassen. Neben Apps die direkt zu Banken gehören, werden auch Drittanbieter Apps die das mobile Banking erleichtern sollen von BankBot unterstützt. Zusätzlich bietet BankBot das Feature die Zwei-Faktor-Authentifizierung per SMS auszuhebeln. Es überwacht dazu den SMS-Empfang und sendet benötigte Informationen an die Hintermänner weiter.
Sicherheitsforscher des Unternehmens RiskIQ haben die aktuelle Variante von BankBot entdeckt. Sie war in der App „Crypto Currencies Market Prices“ versteckt, die Nutzer über aktuelle Kurse verschiedener Kryptowährungen wie Bitcoin informiert.
Die Sicherheitsforscher gehen davon aus, dass die Nutzer der App bei der Installation die geforderten Berichtigungen gewährten, da die App die beworbenen Funktionen bietet. Die App kann so Zugriff auf Nachrichten, das Internet und externen Speicher erlangen, die ausreichen um Login- und Bezahl-Daten zu sammeln und an das BankBot-Team zu übermitteln.
Eine Analyse der unterschiedlichen BankBot Varianten kam zu dem Ergebnis, dass die Entwickler den Trojaner ständig weiterentwickeln. Es wurden zusätzlich Funktionen entwickelt, die eine bessere Verschleierung ermöglichen und neue Arten Informationen zu gewinnen implementiert. Die betroffene App wurde inzwischen von Google aus dem Play Store entfernt.
Die App Stores von Google und Apple erfreuen sich bei kriminellen Hackern immer größerer Beliebtheit. Apps die einmal erfolgreich eingeschleust wurden, können in kurzer Zeit eine große Anzahl von Smartphones und Tablets infizieren. Nutzer die Apps dort herunterladen vertrauen oft darauf, dass die Apps durch die jeweiligen Unternehmen vor der Freigabe ausreichend überprüft werden. Die App Stores werden deshalb als sehr vertrauenswürdig angesehen. Ein ähnlicher Fall in der vergangenen Woche bei dem mehr als eine Million Geräte durch eine gefälschte WhatsApp Version infiziert wurden, zeigt deutlich das Ausmaß der Gefahr.