Neue Trojaner-Variante tarnt sich als Antivirus-App

SpyEye fängt mTAN-SMS auf Android-Smartphones ab

| Redakteur: Stephan Augsten

SpyEye gibt sich als Android Security Suite Premium aus.
SpyEye gibt sich als Android Security Suite Premium aus. (Doctor Web)

Vom SpyEye-Trojaner ist eine neue Variante für Android in Umlauf, warnt der Antivirus-Hersteller Doctor Web. Die Malware tarnt sich als Antivirus-Tool „Android Security Suite Premium“ und kann beispielsweise fürs Online-Banking gedachte mTAN-SMS abfangen.

Der russische Antivirus-Experte Doctor Web warnt Android-Nutzer vor einer neuen Version des SpyEye-Trojaners. Dieser wurde als „Android.SpyEye.2.origin“ in die Antivirus-Datenbank des Hersteller aufgenommen und gibt sich wie sein Vorgänger als Antivirus-Tool für Googles mobiles Betriebssystem aus.

Beim Start zeigt die vermeintliche Security-App einen Splash Screen mit Schild sowie einen mittig platzierten Aktivierungscode. Laut den Malware-Analysten von Doctor Web überwacht der Trojaner eine Reihe von Systemereignissen, beispielsweise ausgehende Anrufe (NEW_OUTGOING_CALL), den Bootvorgang des Betriebssystems (BOOT_COMPLETED) sowie das Empfangen neuer Kurznachrichten (SMS_RECEIVED).

Letztere Aktion ermöglicht es dem SpyEye-Trojaner, die beim Online-Banking per SMS versendeten mobilen Transaktionsnummern (mTAN) abzufangen. Der Trojaner wartet nach Laden des Betriebssystems 180 Sekunden oder bis ein ausgehender Anruf entdeckt wird und fügt die Informationen über die letzte eingehende SMS in die gleiche Datenbank ein.

Nicht nur Bankkonten in Gefahr

Sollte die Information bereits früher in die Datenbank eingegeben worden sein, werden die zuvor existierenden Daten auf den kriminellen Server hochgeladen. Nachdem der Trojaner eine eingehende SMS verarbeitet hat, sendet er Gerätenummer (IMEI) und Telefonnummer an den feindlichen Server. Somit könnten Kriminelle zusätzlich zu Bankdaten auch andere wichtige Informationen wie Kontakte gelangen.

Der Trojaner lässt sich auf verschiedene Weise kontrollieren, beispielsweise auch per SMS. Beim Empfang einer neuen Nachricht prüft SpyEye, ob diese ein für die Malware bestimmtes Kommando enthält. Ist das der Fall, führt der Trojaner dieses Kommando aus und löscht die Nachricht.

Auf diesem Weg können die Angreifer beispielsweise einen Modus aktivieren, in welchem der Trojaner alle neuen Nachrichten an eine innerhalb des Kommandos mitgegebene Nummer weiterleitet. Um zu verhindern, dass der Trojaner auffällt, lässt sich dieser Modus auch wieder deaktivieren oder der Schadcode komplett löschen.

Wie andere Security-Hersteller rät auch Doctor Web dazu, eine Antivirus-Software auf Android-Geräten zu installieren. Insbesondere gilt das für Anwender, die das Installieren von Anwendungen aus unsicheren Quellen auf ihrem Gerät erlauben. Dr.Web Antivirus für Android soll selbst künftige Varianten dieses Trojaners mithilfe der Origins-Tracing-Technologie erkennen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 34353510 / Malware)