Als Antivirus getarnt

Banking-Trojaner „SharkBot“ lauerte im Play Store

Der Banking-Trojaner "SharkBot" wurde mithilfe eines falschen Virenscanners unters Volk gebracht.

(Bild: stock.adobe.com)

IT-Sicherheitsforscher der NCC Group haben im Google Play Store einen neuen Banking-Trojaner entdeckt, der ausgerechnet als blinder Passagier einer angeblichen Antiviren-App die Handys der Nutzer infiziert hat. Das Ziel von „SharkBot“ war, die Bankkonten seiner Opfer zu plündern.

Zwar konnte sich „SharkBot“ nicht weit verbreiten, weil Google die verseuchte App „Antivirus, Super Cleaner“ von Zbynek Adamcik nach der Meldung der NCC Group schnell aus dem Play Store entfernte. Bereits infizierte Smartphones stellen für die Nutzer aber ein teures Sicherheitsrisiko dar.

„SharkBot“ kann Konten seiner Opfer leer räumen
Die bisher wenig bekannte Banking-Malware hat einen besonderen Trick auf Lager, berichtet „Bleeping Computer“. Sie ist in der Lage, dem System Berührungen und Tastatureingaben vorzugaukeln und sich so bei Banking-Apps anzumelden, um automatisch Geld an die unbekannten Hinterleute der Kampagne zu überweisen.

Von diesen Fähigkeiten machte die Malware laut NCC Group nur in wenigen Fällen Gebrauch. Welche Voraussetzungen gegeben sein müssen, damit „SharkBot“ Banking-Apps knacken und Überweisungen tätigen kann, ist noch nicht bekannt. Neben der Banking-App-Manipulation beherrscht „SharkBot“ aber auch klassische Keylogging-Aktivitäten, kann eingehende SMS - etwa mit TAN-Codes - abfangen und verstecken sowie Angreifern die vollständige Kontrolle über das Smartphone geben.

Auch bei Apps aus dem Play Store ist Vorsicht geboten
Der Fall zeigt einmal mehr, dass Googles Sicherheitsvorkehrungen im Play Store nicht vollständig vor unerwünschter Software schützen. Im konkreten Fall fungierte der falsche Virenscanner als sogenannter „Dropper“, der eigentliche Schadcode wurde erst nach der Installation nachgeladen. Die Sicherheits-Scans entdeckten folglich keinen Schadcode in dem angeblichen Virenscanner, der erst nach der Installation sein wahres Gesicht zeigte.

Erst kürzlich wurden im Play Store weitere verseuchte Anwendungen entdeckt, die nach der Installation den Banking-Trojaner „Xenomorph“ auf das Smartphone luden. „Bleeping Computer“ empfiehlt daher, nicht blind auf die Sicherheitsmaßnahmen des Play Store zu vertrauen, Android-Virenscanner nur von namhaften Herstellern zu beziehen und die Zahl der am Smartphone installierten Apps so gering wie möglich zu halten.