Veröffentlicht inApps

Kunden von 18 Banken betroffen: Beliebte Android-App kann leeres Konto zur Folge haben

Dana Neumann von Dana Neumann

Der bekannte Trojaner Xenomorph ist noch bedrohlicher geworden. Er wurde Fachleuten zufolge an einen eigentlich harmlosen Kryptorechner angehängt.

Android-Logo und Malware-Warnung
© Getty Images/ SOPA Images / Kontributor

Trojaner: Woher kommen sie und wie wirst du sie los?

Was sind Trojaner?Trojaner sind Schadprogramme, die durch Täuschung auf deine Festplatte gelangen……zum Beispiel durch schädliche E-Mail-Anhänge oder Downloads.Sind sie erstmal auf deinem Computer, können sie deine Daten löschen, modifizieren, kopieren oder sperren.

Sicherheitsfachleute von ThreatFabric stießen bereits Anfang 2022 auf die bösartige Banking-Malware in Android-Apps. Nun entdeckten die Analyst*innen eine neue Variante dieser Familie, die sie als Xenomorph.C beziehungsweise v3 klassifizieren.

Xenomorph v3: Trojaner macht Android-Apps heimlich gefährlich

Im Februar 2022 warnte ThreatFabric erstmals vor Android-Apps, die mit dem Trojaner verseucht waren. Nach einem Update soll dieser nun noch aggressiver geworden sein und sogar die als eigentlich sicher geltende Multi-Faktor-Authentifizierung umgehen können. Die Sicherheitsexpert*innen erklären dazu:

„Als Alternative [zur SMS zur Durchführung der Multi-Faktor-Authentifizierung] scheinen sich viele Institute für die Verwendung von Authenticator-Anwendungen entschieden zu haben. Solche Anwendungen werden jedoch häufig auf demselben Gerät verwendet, das auch für die Transaktion genutzt wird. Eine moderne Banking-Malware, die auf einem infizierten Gerät installiert ist, kann eine betrügerische Transaktion einleiten, indem sie die gezielte Banking-Anwendung missbraucht und gleichzeitig die Authenticator-App zum Auslesen der erforderlichen Authentifizierungscodes verwendet.“

ThreatFabric

Die Kriminellen hinter Xenomorph v3 (3. Version) sollen ein Modul für genau diesen Zweck entwickelt haben, heißt es weiter. Demnach wird es immer dann ausgelöst, wenn die Android-App zur Authentifizierung von der Malware gestartet wird.

„Mit diesen neuen Funktionen ist Xenomorph nun in der Lage, die gesamte Betrugskette von der Infektion bis hin zur Exfiltration von Geldern zu automatisieren, was ihn zu einem der fortschrittlichsten und gefährlichsten Android-Malware-Trojaner im Umlauf macht.“

ThreatFabric

18 deutsche Banken betroffen

Gefunden wurde der Trojaner in einer Android-App, die zum jetzigen Stand (19:43 Uhr) weiterhin im Google Play Store verfügbar ist: der legale Krypto-Währungsrechner „CoinCalc“ des Entwicklers Sam Ruston. Wichtig ist, dass nicht die App selbst gefährlich ist. Über den Darknet-Dienst „Zombinder“ soll allerdings die bösartige Malware an die Anwendung angehängt worden sein. 

Weltweit nimmt Xenomorph mithilfe von Android-Apps rund 400 Banken ins Visier. Auch 18 deutsche Exemplare sollen dazugehören. Darunter unter anderem die folgenden Geldinstitute:

  • ComDirect
  • Commerzbank
  • Consorsbank
  • Deutsche Bank
  • DKB
  • Volk- und Raiffeisenbank
  • ING-Diba
  • N26
  • Postbank
  • Santander Bank
  • Sparda-Bank
  • Sparkasse
  • Targobank

Eine vollständige Liste der etwa 400 Banken hat ThreatFabric im entsprechenden Blogbeitrag ebenfalls veröffentlicht.

Quellen: ThreatFabric

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.