Eset warnt vor altem Bekannten: Gefährlicher Banking-Trojaner im Google Play Store entdeckt

Vor dem Banking-Trojaner BankBot warnt jetzt das Sicherheitsunternehmen Eset. Der Android-Schädling hatte bereits 2017 für eine Angriffswelle gesorgt und ist nun erneut im Google Play Store aufgetaucht.

Ein gefährlicher Banking-Trojaner ist erneut im Google Play Store aufgetaucht.
(Foto: weerapat1003 - Fotolia)

Einen alten Bekannten hat Eset jetzt im Google Play Store entdeckt. Der auf den Namen BankBot getaufte Trojaner war bereits Anfang 2017 zum ersten Mal aufgetaucht. Damals tarnte sich die Banking Malware als Spiel »Jewels Star Classic« des Entwicklers «GameDevTony« schlich sich in den Android App-Store ein. Die betrügerische App wurde insgesamt über 5.000 Mal heruntergeladen, bevor sie aus dem Google Play Store entfernt wurde.

BankBot hat sich mit der Zeit immer weiterentwickelt und tauchte in verschiedenen Versionen inner- und außerhalb von Google Play auf. Die aktuelle Variante ist die erste, die erfolgreich verschiedene Elemente der BankBot-Entwicklungen vereint: eine verbesserte Code-Verschleierung, eine ausgefeilt Dropping-Funktion sowie ein raffinierter Infektionsmechanismus, der die Android Accessibility Funktionen missbraucht, die für die Barrierefreiheit des Geräts sorgen sollen. Diese Funktionen wurden bereits in der Vergangenheit von verschiedenen Trojanern ausgenutzt, vorwiegend außerhalb von Google Play.

Sobald der Anwender die App herunterlädt, erhält er ein voll funktionierendes Android-Spiel – allerdings mit einigen versteckten Extras. 20 Minuten nach dem ersten Start werden der Payload der Banking Malware sowie ein schadhafter Service, die sich innerhalb des Spiels verstecken, ausgeführt. Das infizierte Gerät zeigt dem Anwender nun einen Hinweis mit der Aufforderung an, etwas namens »Google Service« zu aktivieren. Dieser Hinweis erscheint laut Eset unabhängig davon, was der Nutzer aktuell mit dem Gerät macht. Auch eine erkennbare Verbindung zum Spiel gibt es nicht.

Um ihn auszublenden, ist der Anwender gezwungen auf »OK« zu klicken. Anschließend wird er zum Android Menü weitergeleitet. Zwischen einigen legitimen Services ist nun auch der durch die Malware erstellte »Google Service« aufgelistet. Beim Anklicken erscheinen die originalen Nutzungsbedingungen von Google. Sind die Services einmal aktiviert, beginnt die Malware die Kreditkarteninformationen ihres Opfers auszulesen.

Da die Cyberkriminellen direkt mehrere Techniken kombiniert haben, ist es für die Opfer sehr schwer, die Bedrohung rechtzeitig zu erkennen. Denn der Trojaner tarnt sich als Google und wartet 20 Minuten ab. Dadurch werden die Aktivitäten nur von den wenigsten mit der jüngst heruntergeladenen App in Verbindung gebracht. Android Nutzer, welche von BankBot betroffen sind, können ihr Gerät manuell bereinigen. Dazu müssen sie indem sie zunächst die Geräte-Administrationsrechte für »Systemupdates« deaktivieren und anschließend sowohl »Google Update« als auch die betroffene App deinstallieren.