Computerwelt: Aktuelle IT-News Österreich


11.03.2016 Rudolf Felser

Android: Banking-Trojaner klaut Login-Daten und liest SMS mit

Laut einer Analyse von ESET ergaunert der Banking-Trojaner Spy.Agent Login-Daten und umgeht die Zwei-Faktor-Authentifizierung. So wird man ihn wieder los.

Banking-Trojaner Spy.Agent umgeht Zwei-Faktor-Authentifizierung

Banking-Trojaner Spy.Agent umgeht Zwei-Faktor-Authentifizierung

© ESET

Dem europäischen Security-Software-Hersteller ESET ist ein Banking-Trojaner für Android ins Netz gegangen, der als Flash Player getarnt sensible Login-Daten für das Online-Banking ausspäht. Bisher beschränken sich die Aktivitäten der Malware den Angaben zufolge zwar auf Banken in der Türkei, Australien und Neuseeland, mit einer Expansion in Richtung EU sei auf Grund der "heimtückischen Konzeption" jedoch zu rechnen, warnt ESET.

Die Malware Android/Spy.Agent.SI tarnt sich als Flash Player, ihre .apk-Dateien werden stündlich unter anderen Ziel-URLs bereitgestellt, womöglich um die Scanner von Antiviren-Programmen zu täuschen.

LIEST SMS

Spy.Agent verlangt nach der Installation administrative Rechte um die Deinstallation zu verhindern. Werden die Rechte gewährt, wird eine mit base64 gesicherte Verbindung zu einem Command & Control-Server (C&C-Server) hergestellt und Geräteinformationen wie IMEI-Nummer und SDK-Version gesendet. Dann folgt eine Analyse der installierten Banking-Apps auf dem Android-Smartphone, die ebenso mit dem Remote-Server geteilt und mit aktuell 49 Ziel-Apps abgeglichen wird.

Besonders kritisch ist, dass die Malware die bei mobilen Bankiing-Apps oft eingesetzte Zwei-Faktor-Authentifizierung umgeht, indem alle eingehenden SMS-Nachrichten an den C&C-Server weitergeleitet werden. Öffnet man die Banking-App, tarnt sich die Malware und überlagert den Bildschirm mit einem Login-Fenster. Dieser Prozess kann nicht beendet werden und fungiert wie ein Lockscreen.

Nach Eingabe der Login-Daten werden die Informationen an einen Server gesendet und der Prozess wird beendet. Mit diesem tückischen Vorgehen können auch andere Zugangsdaten beispielsweise Google- oder PayPal-Logins abgegriffen werden. Um Smartphones vor einer Infektion zu schützen, empfiehlt ESET den Einsatz einer mobilen Antiviren-Lösung.

TROJANER ENTFERNEN

Ist es dafür schon zu spät, empfiehlt ESET in seinem Blog zwei Möglichkeiten, den Trojaner wieder zu entfernen: Wenn die schädliche App noch keine Chance hatte, sich völlig vor der Deinstallation zu schützen, genügt es die App von der Liste der Geräteadministratoren zu löschen. Die Funktion finden Sie in einem Untermenü der Einstellungen unter "Sicherheit" oder "Gerätesicherheit". Auf dem Samsung Galaxy S6 beispielsweise unter "Einstellungen -> Gerätesicherheit -> Andere Sicherheitseinstellungen -> Geräteadministratoren". Dann lässt sich der falsche Flash Player ganz normal deinstallieren.

Hat die Malware sich jedoch schon vor der Deinstallation geschützt funktioniert dieser Ansatz nicht, da beim Versuch die Admin-Rechte zu entziehen ein Overlay über den Bildschirm gelegt wird, welches die Ausführung verhindert. In diesem Fall gibt ESET den Tipp, das Smartphone im Safe Mode zu starten. So werden keine Apps von Drittanbietern gestartet und die Malware lässt sich auf dem oben geschilderten Weg deinstallieren. (rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

comments powered by Disqus

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr

Programmierung & Hosting: