+43 699 / 18199463
office@itexperst.at

Gefälschte Google-Play-App stiehlt Online-Banking-Daten

FireEye und Google haben gemeinsam eine App unschädlich gemacht, die Daten für das Online-Banking von Android-Nutzern entwendete. Dazu nutzten die Kriminellen eine bösartige und als Google Play getarnte App.

Innerhalb von 30 Tagen hat die bösartige App mindestens 200 Geräte infiziert. Scheinbar hat sie hauptsächlich koreanische Nutzer im Visier. Nur drei von 51 Anti-Viren-Programmen können bisher die Malware mit koreanischer Benutzeroberfläche entdecken. Besonders schwierig für die Antivirenprogramme macht es die Verschlüsselung der App unter dieser Oberfläche.

Die App nutzt das Google Play Symbol und installiert sich mit einem Icon auf dem Home-Bildschirm des Geräts. Somit sollen Nutzer dazu verführt werden, auf die App zu klicken – was diese aktiviert. Danach kann sie die Textnachrichten des Nutzers, Signatur-Zertifikate und Passwörter für Online-Banking von dem Gerät kopieren.

Die Sache hat einen weiteren Haken: Durch den Klick auf „Deinstallieren“ wird die Software nicht entfernt. Sobald das Gerät neu gestartet wird, ist auch die Malware wieder da. Der ausgeklügelte Verschlüsselungsmechanismus verhindert während des gesamten Prozesses eine Entdeckung der Malware.

FireEye wandte sich an Google, um die Gmail-Konten der Hacker zu sperren, an die die gestohlenen Daten gesandt wurden. Jinjian Zhai von FireEye:

„Gmail nutzt das SSL-Protokoll, womit Hacker es umgehen können aufzufliegen.“

Doch selbst mit gesperrten Gmail-Konten könnte die Kampagne eine Fortsetzung finden:

„Wir können mit Google zusammen nur die Gmail-Konten sperren. Die Hacker haben immer noch ihre HTTP-Server online. Außerdem können sie ohne Probleme neue Gmail-Konten erstellen, um neue Malware zu verbreiten.“

Versionen der Malware sind schon seit 2013 im Umlauf, so Jeremy Linden von der Anti-Viren-Software Lookout Security. Bei Lookout firmiert sie unter dem Namen PlayBanker, anderen ist die Malware als FakeKRB oder FakeKRBank bekannt.

Zum Entfernen der Malware muss die App zuerst im Gerätemanager deaktiviert und dann deinstalliert werden. Bisher ist allerdings unklar, wie die betroffenen Geräte mit der App überhaupt infiziert wurden.

Artikel von darkreading.com, 18.06.2014: Malicious Google Play Clone Steals Banking Credentials
Artikel von scmagazine.com, 19.06.2014: Google shuts down malicious ‚Google Play Stoy‘ app

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen