BlackRock: Android-Malware stiehlt Dating- und Banking-Passwörter

Ein neuer Android-Banktrojaner namens BlackRock treibt derzeit sein Unwesen. Eine wichtige Besonderheit des Datendiebs ist dabei, dass er es nicht nur auf Bankdaten, sondern auch auf sensiblen Informationen aus Dating-Plattformen und Netzwerk-Apps abgesehen hat.
Infografik Android: Eine Plattform, viele Versionen

Seit Mai in Beobachtung

Das berichtet jetzt das Online-Magazin ZDNet und bezieht sich dabei auf einen Bericht der Si­cher­heitsforscher. Laut der Analyse von Threat­Fabric geht der Daten-Diebstahl aber über Finanz-Apps weit hinaus. Auch Dating- sowie Nachrichten- und Produktivitäts-Apps werden angezapft. Die Malware wurde dabei bereits im Mai erstmals von ThreatFabric-Analysten entdeckt. Genutzt wurde dafür der Quellcode einer anderen Banking-Malware Xerxes, einer bekannten Variante des alten Android-Tro­ja­ners LokiBot, der lange Zeit sein Unwesen trieb.

Das neue an BlackRock ist, dass im Gegensatz zu anderen Banking-Trojanern BlackRock sich gegen eine Vielzahl von Android-Apps richten und bei denen Daten stehlen kann. Der Schwer­punkt liegt dabei auf Kommunikations-, Netzwerk- und Dating-Plattformen. Aber auch zahlreiche andere beliebte Plattformen sind dabei. Insgesamt, so ThreatFabric, stiehlt Black­Rock Anmeldeinformationen und Kreditkarteninformationen aus einer Liste von 337 An­wen­dun­gen, wobei derzeit wohl "nur" 226 Apps davon bekannt beziehungsweise aktiv angegriffen werden. Die Betrüger schleusen nachgebaute Anmeldeseiten ein, um Daten zu stehlen

Diese Apps stehen im Visier der Betrüger

Für deutsche Android-Nutzer wichtig: Es gibt dabei eine Vielzahl an deutschen Banking-Apps, die BlackRock im Visier hat: Das geht los bei der Commerzbank, über N26 bis hin zu VR Banking Classic der Volksbanken Raiffeisenbanken. Dazu tauchen in der Liste beliebte Platt­formen wie Mobile.de, PayPal, Outlook und Gmail auf. Bei den Netzwerken sind es unter anderem Twitter, Instagram, Facebook, Reddit, TikTok, Tinder und Grindr. Für all diese An­bie­ter gibt es speziell gestaltete Phishing-Seiten, die die Nutzer hereinlegen sollen.

BlackRock tarnt sich dabei als Google-Update zur Beantragung von Zugänglichkeitsdienst-Privilegien, zum Beispiel der Verwendung des Standorts. "Sobald der Nutzer das an­ge­for­der­te Zugriffsdienst-Privileg gewährt, gewährt sich BlackRock zunächst selbst zu­sätz­li­che Be­rech­ti­gun­gen", so ThreatFabric. Anschließend ist der Bot der Angreifer voll einsatzfähig und kann Eingaben protokollieren, Adresslisten auslesen und Nachrichten versenden. Interessant ist auch: BlackRock kann laut dem Bericht Antiviren- und System­bereinigungs­software daran hindern, gestartet zu werden - da die App sich nach und nach wichtige Berechtigungen holt.

Eine wirkliche Handlungsempfehlung gegen den Trojaner gibt es derzeit von TreatFabric nicht, außer, dass man dauerhaft einen Virenschutz nutzt, der die Bedrohung im Vorfeld erkennen kann, sodass der Trojaner sich gar nicht erst einnisten kann.

Siehe auch: Android 10: Google löst großen Rückstau bei Sicherheitslücken auf Android, Malware, Trojaner, Schadsoftware, BlackRock ThreatFabric