Bankdaten-Klau: Android-Malware ThreatLabZ kommt als Chrome-Update

Auf eine neue Android-Malware, die Bankdaten und andere private Daten stiehlt, hat jetzt Zscaler hingewiesen. Die Schadsoftware tarnt sich als Update für den Browser Chrome und wird nicht von einer einheitlichen, sondern einer ganzen Reihe unterschiedlicher URLs gehostet, die mit Namensbestandteilen wie „android-update“ oder zumindest „goog“ einen offiziellen Eindruck erwecken sollen. Sie sind jeweils nur kurz aktiv und werden dann, um eine URL-basierte Erkennung zu verhindern, gewechselt.

Falsche Google-Play-Kreditkartenabfrage (Bild: Zscaler)

Falsche Google-Play-Kreditkartenabfrage (Bild: Zscaler)

Kriminelle versuchen, den Forschern der Zscaler ThreatLabZ zufolge, Anwendern das Paket mit dem Namen „Update_chrome.apk“ unterzuschieben, indem sie sie vor einem angeblichen Virenbefall warnen. Die Malware verschafft sich – einmal installiert – Administratorrechte und schickt Bankdaten ebenso wie SMS, Anruflisten und die Browserhistorie an einen Kommandoserver.

„Die Malware kann von kompromittierten oder bösartigen Seiten kommen und mit Scareware-Taktik oder Social Engineering verteilt werden“, sagte Zscaler-Director Deepen Desai gegenüber ZDNet.com. „Das haben wir bei bösartigen Android-Applikationspaketen in letzter Zeit öfter beobachtet, dass sie Scareware-Taktiken verwenden und der User per Pop-up einen Hinweis erhält, sein Gerät sei infiziert. Das angebliche Update verspricht dann eine Säuberung des Geräts.“

Nach der Installation checkt die Schadsoftware zudem, ob Sicherheitsanwendungen installiert sind und schaltet sie nach Möglichkeit ab. Nach aktuellem Stand befinden sich darunter etwa Android-Sicherheitslösungen von Avast, Dr. Web, Eset und Kaspersky.

Sorry, there are no polls available at the moment.

Browserhistorie, Anruflisten und SMS gehen direkt an einen Kommandoserver. Die weitere Kommunikation wird dann überwacht und Gespräche mit unbekannten Anrufern in manchen Fällen sogar beendet. Das Programm blendet einen Zscaler zufolge echt aussehenden Bezahl-Bildschirm für Google Play ein, um an die Bankdaten zu gelangen. Diese Daten werden in Form eines Screenshots an eine russische Telefonnummer geschickt.

Die Malware verhindert eine Deinstallation, indem sie dem Nutzer die Berechtigung für diesen Schritt entzieht. Die einzige reguläre Möglichkeit zur Deinstallation besteht im Zurücksetzen auf die Fabrikeinstellungen, was natürlich auch alle anderen Daten im Speicher löscht.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Bankdaten-Klau: Android-Malware ThreatLabZ kommt als Chrome-Update

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *