Suchen

Neue Trojaner-Variante tarnt sich als Antivirus-App SpyEye fängt mTAN-SMS auf Android-Smartphones ab

| Redakteur: Stephan Augsten

Vom SpyEye-Trojaner ist eine neue Variante für Android in Umlauf, warnt der Antivirus-Hersteller Doctor Web. Die Malware tarnt sich als Antivirus-Tool „Android Security Suite Premium“ und kann beispielsweise fürs Online-Banking gedachte mTAN-SMS abfangen.

Firmen zum Thema

SpyEye gibt sich als Android Security Suite Premium aus.
SpyEye gibt sich als Android Security Suite Premium aus.
(Doctor Web)

Der russische Antivirus-Experte Doctor Web warnt Android-Nutzer vor einer neuen Version des SpyEye-Trojaners. Dieser wurde als „Android.SpyEye.2.origin“ in die Antivirus-Datenbank des Hersteller aufgenommen und gibt sich wie sein Vorgänger als Antivirus-Tool für Googles mobiles Betriebssystem aus.

Beim Start zeigt die vermeintliche Security-App einen Splash Screen mit Schild sowie einen mittig platzierten Aktivierungscode. Laut den Malware-Analysten von Doctor Web überwacht der Trojaner eine Reihe von Systemereignissen, beispielsweise ausgehende Anrufe (NEW_OUTGOING_CALL), den Bootvorgang des Betriebssystems (BOOT_COMPLETED) sowie das Empfangen neuer Kurznachrichten (SMS_RECEIVED).

Letztere Aktion ermöglicht es dem SpyEye-Trojaner, die beim Online-Banking per SMS versendeten mobilen Transaktionsnummern (mTAN) abzufangen. Der Trojaner wartet nach Laden des Betriebssystems 180 Sekunden oder bis ein ausgehender Anruf entdeckt wird und fügt die Informationen über die letzte eingehende SMS in die gleiche Datenbank ein.

Nicht nur Bankkonten in Gefahr

Sollte die Information bereits früher in die Datenbank eingegeben worden sein, werden die zuvor existierenden Daten auf den kriminellen Server hochgeladen. Nachdem der Trojaner eine eingehende SMS verarbeitet hat, sendet er Gerätenummer (IMEI) und Telefonnummer an den feindlichen Server. Somit könnten Kriminelle zusätzlich zu Bankdaten auch andere wichtige Informationen wie Kontakte gelangen.

Der Trojaner lässt sich auf verschiedene Weise kontrollieren, beispielsweise auch per SMS. Beim Empfang einer neuen Nachricht prüft SpyEye, ob diese ein für die Malware bestimmtes Kommando enthält. Ist das der Fall, führt der Trojaner dieses Kommando aus und löscht die Nachricht.

Auf diesem Weg können die Angreifer beispielsweise einen Modus aktivieren, in welchem der Trojaner alle neuen Nachrichten an eine innerhalb des Kommandos mitgegebene Nummer weiterleitet. Um zu verhindern, dass der Trojaner auffällt, lässt sich dieser Modus auch wieder deaktivieren oder der Schadcode komplett löschen.

Wie andere Security-Hersteller rät auch Doctor Web dazu, eine Antivirus-Software auf Android-Geräten zu installieren. Insbesondere gilt das für Anwender, die das Installieren von Anwendungen aus unsicheren Quellen auf ihrem Gerät erlauben. Dr.Web Antivirus für Android soll selbst künftige Varianten dieses Trojaners mithilfe der Origins-Tracing-Technologie erkennen.

(ID:34353510)