BankBot
22.11.2017, 10:10 Uhr
Banking-Trojaner nimmt Raiffeisen- und UBS-Kunden ins Visier
Der Banking-Trojaner «BankBot» hat es auf Schweizer Raiffeisen- und UBS-Kunden abgesehen. Die Schadsoftware gelangt über vermeintlich harmlose Android-Apps auf die Geräte der Nutzer und versucht Logindaten und TANs abzufangen.
Über vermeintlich harmlose Taschenlampen-, Optimierungs- und Solitaire-Spieleapps ist es Cyberkriminellen gelungen, den Banking-Trojaner «BankBot» in den Google Play Store zu schleusen. Das haben Sicherheitsforscher von Avast, Eset und SfyLabs in einer gemeinsamen Untersuchung herausgefunden. Die Schadsoftware hat es auf das Geld von Mobile-Banking-Kunden abgesehen und greift dazu deren Zugangsdaten ab, indem sie die Nutzeroberfläche von gängigen Banking-Apps manipuliert.
In der Schweiz konzentriere sich die Attacke auf Kundinnen und Kunden der Raiffeisen und der UBS, wie aus einem Blog-Beitrag von Avast hervorgeht. Weltweit seien allerdings insgesamt etwa 160 Banken zum Angriffsziel der Cyberkriminellen geworden. In Deutschland sind unter anderem die Citibank, Comdirekt oder die Commerzbank betroffen, in Österreich die BAWAG sowie die Sparda-Bank.
So räumt der «BankBot» Konten leer
Der Banking-Trojaner gelangt zunächst als vermeintlich vertrauenswürdige Apps auf die Geräte der Nutzer. Sobald der «BankBot» den Start einer Banking-App registriert, legt die Malware eine gefälschte Anmeldeseite über die jeweilige Anwendung. Die dort eingegangenen Anmeldedaten landen anschliessend auf den Servern der Kriminellen. Auch SMS-TANs sollen von der Schadsoftware abgefangen werden, um direkt Banküberweisungen im Namen des Nutzers durchzuführen.
Für die Ausführung dieser Vorgänge ist BankBot allerdings auf Administratorrechte angewiesen. Darüber hinaus muss der Nutzer für eine erfolgreiche Attacke eine Installation aus unbekannten Quellen erlauben, damit die Apps den eigentlichen Schadcode nachladen können. Google entfernte kürzlich ältere «BankBot»-Apps aus dem Play Store, dennoch seien Tausende von Geräten infiziert worden. Denn mehrere Versionen seien bis zum 17. November aktiv geblieben, heisst es in der Pressemitteilung weiter.
Aufmerksamkeit ist gefragt
Um sich vor dem «BankBot» und weiteren Schädlingen zu schützen, empfehlen die Sicherheitsexperten bei der Nutzung von Banking-Apps auf auffällige Änderung der Nutzeroberfläche zu achten. Zudem biete sich – soweit verfügbar – die Absicherung der Anwendungen über eine 2-Faktor-Authentifizierung (2FA) an. Ausserdem sollten Nutzer nur Anwendungen aus vertrauenswürdigen Quellen wie dem Google Play Store oder dem Open-Source-Shop F-Droid herunterladen. Um sich vor dem «BankBot» und anderen Banking-Trojanern zu schützen, raten die Experten zudem, auf mobilen Geräten eine Sicherheits-App zu installieren.
Im Falle des «BankBots» gelang es den Cyber-Kriminellen, die Sicherheitsscans von Google mit der Veröffentlichung der Apps unter verschiedenen Entwicklernamen zu umgehen. Zudem wurde der Trojaner auf befallenen Geräten sehr schnell aktiv. Bereits zwei Stunden nachdem ihm Opfer Administratorenrechte erteilten, habe er damit begonnen, schädliche Aktivitäten auszuführen. Wenn eine App weitreichende Zugriffsrechte einfordere, sei deshalb generell äusserste Vorsicht geboten, schreibt Avast abschliessend.