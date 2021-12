Sicherheitsexperten haben einen neuen Banking-Trojaner entdeckt, der sich über eine gefälschte Google Play Store-Seite verbreitet. Unbekannte geben dabei vor, eine App einer bekannten Bank anzubieten. Bisher sind aber nur Infektionen außerhalb Europas bekannt.

Zuerst entdeckt in Brasilien

Hijacking der eigentlichen App

portal gda / Flickr

Doch das muss nicht mehr lange so bleiben, denn der Trick der Cybergangster funktioniert so gut, dass Experten befürchten, dass er Nachahmer weltweit finden wird (via Bleeping Computer ). Bei dieser Schwachstelle kommen dabei allerlei Tricks zum Einsatz. Es geht vom Hijacking der eigentlichen App über das Nachahmen einer Play Store-Seite bis hin zum Download einer App, die später einen gefährlichen Trojaner nachlädt.Der Android-Banking-Trojaner hat es derzeit auf Itaú Unibanco, einen großen Finanzdienstleister in Brasilien mit 55 Millionen Kunden weltweit abgesehen. Betrüger haben für die App eine Seite eingerichtet, die dem offiziellen Google Play App Store von Android sehr ähnlich sieht, um Besuchern vorzugaukeln, dass sie die App von einem vertrauenswürdigen Dienst installieren. Die Malware gibt vor, die offizielle Banking-App von Itaú Unibanco zu sein und zeigt das gleiche Symbol wie die legitime App.Wenn die Benutzer auf die Schaltfläche "Installieren" klickt, wird ihnen angeboten, die APK herunterzuladen, was das erste Anzeichen für den Betrug ist. Google Play Store-Apps werden über die Schnittstelle des Stores installiert, ohne dass der Benutzer aufgefordert wird, Programme manuell herunterzuladen und zu installieren.Interessant ist dann der zweite Schritt. Sobald die falsche App über das APK installiert ist, versucht sie, die echte Itaú-Banking-App aus dem Play Store zu öffnen. Gelingt dies, nutzt sie die tatsächliche App, um betrügerische Transaktionen durchzuführen, indem sie die Eingabefelder des Benutzers ändert und so an die Login-Daten kommt. Die gefälschte App fordert während der Installation keine gefährlichen Berechtigungen an und vermeidet so, Verdacht zu erregen oder die Erkennung durch AV-Tools zu riskieren.Mit ihren Tricks umgeht sie im Grunde alle Sicherheitsmaßnahmen auf Android-Systeme - sowohl solche Maßnahmen, die Google eingebaut hat, als auch von weiteren Antiviren-Tools. Google muss laut den Entdeckern der Malware diese Schwachstelle dringend schließen, da immer mehr Cyber-Betrüger sie ausnutzen. Die Websites, über die die bösartigen APKs verbreitet wurden, wurden gemeldet und vorerst offline genommen, aber die Akteure können schnell über andere Domains zurückkehren.