50.000 Downloads

Google Play Store verteilte Banktrojaner Xenomorph

Weil sie dem bereits bekannten Banking-Trojaner Alien ähnelt, wurde die nun entdeckte Schadsoftware Xenomorph getauft.

(Bild: stock.adobe.com)

Cyberkriminellen ist es gelungen, über Googles offiziellen Play Store einen Banking-Trojaner an Nutzer des Smartphone-Betriebssystems Android zu verteilen. Der Trojaner Xenomorph verbarg sich hinter einer angeblichen App zur Systembeschleunigung und hat es auf die Online-Banking-Daten abgesehen. Google hat die verseuchte App mittlerweile entfernt.

Entdeckt hat den Banking-Trojaner das IT-Security-Unternehmen Malwarebytes. Am Firmenblog erklärt man, wie der nach dem blutrünstigen Außerirdischen aus dem Science-Fiction-Film „Alien“ benannte Schadcode es durch Googles Sicherheitsprüfung schaffen konnte.

Präparierte App infizierte Handys mit Trojaner
Der Trojaner wurde nachträglich von einer zunächst unscheinbaren präparierten App namens Fast Cleaner heruntergeladen. Das Programm wurde als Systembeschleuniger vermarktet, der den Arbeitsspeicher bereinigt und damit die Akkulaufzeit erhöht. Tatsächlich barg die App ein Geheimnis: Sie kontaktierte nach einer Weile einen Kommando-Server, von dem „Nutzlasten“ wie Xenomorph heruntergeladen wurden.

Damit das Geheimnis nicht entdeckt wird, warteten die Urheber der App, bis diese eine gewisse Verbreitung hatte, bevor der Trojaner-Download initiiert wurde. Auf diese Weise gelang es, Googles strenge Sicherheitsprüfung auszutricksen. Mittlerweile wurde die verseuchte Anwendung aus dem Play Store entfernt, zuvor wurden allerdings 50.000 Downloads verzeichnet.

Banking-Apps werden nachgeahmt
Xenomorph - die Schadsoftware ähnelt dem Banking-Trojaner Alien - stiehlt Online-Banking-Zugangsdaten und sogar auf das Smartphone geschickte SMS-TANs. Dafür werden die infizierten Smartphones auf Banking-Apps gescannt, deren Benutzeroberfläche dann vom Trojaner imitiert wird, damit das Opfer seine Zugangsdaten eingibt. Der Trojaner sei modular gestaltet und derzeit offenbar noch im Aufbau, analysieren die Experten.

Bislang imitiert Xenomorph demnach die Online-Banking-Apps verschiedener spanischer, portugiesischer, italienischer und belgischer Banken, auch Krypto-Wallets und E-Mail-Programme werden ins Visier genommen. Malwarebytes geht davon aus, dass die Macher Xenomorph noch ausbauen und weitere Banking-Apps nachahmen lassen wollten.