Fieser Android-Trojaner aufgetaucht: Wer nicht aufpasst, riskiert leeres Konto

Ein Android-Trojaner versteckt sich aktuell auf Android-Geräten als Google-Dienst oder Bank-App – dabei besteht die Gefahr, dass er Ihr Konto leer räumt.

"DroidBot" - so heißt ein neuer Remote-Access-Trojaner (RAT) für Android, vor dem Experten des Online-Betrugsmanagement- und Präventionsunternehmens Cleafy warnen. Die Malware ist wohl schon seit Juni 2024 im Einsatz.

Im Bericht der Sicherheitsforscher steht, dass "DroidBot" versteckte VNC- und Overlay-Angriffstechniken mit spyware-ähnlichen Funktionen wie Keylogging und Benutzeroberflächen-Überwachung kombiniert.

"Das bedeutet, dass Angreifer sich aus der Ferne auf ein Smartphone aufschalten können, aber ohne, dass es der Nutzer merkt", sagt Manuel Atug im Gespräch mit CHIP.

WERBUNG

"Gleichzeitig wird alles, was User machen, aufgezeichnet." Atug ist Cybersicherheits-Experte und arbeitet seit mehreren Jahrzehnten im Bereich IT-Sicherheit.

Eine leuchtende Tastatur.
Eine leuchtende Tastatur.

"DroidBot" nutzt, so ist es in der Cleafy-Analyse zu lesen, Dual-Channel-Kommunikation, überträgt ausgehende Daten über "Message Queuing Telemetry Transport" (MQTT) und empfängt eingehende Befehle über Hypertext Transfer Protocol Secure (HTTPS).

"Über Message Queuing stellen Angreifer sicher, dass die Daten, die sie abfangen wollen, gespeichert werden und regelmäßig bei ihnen ankommen", sagt Atug. HTTPS ist seiner Einschätzung nach "gängige" Praxis Cyberkrimineller, um Signale und Befehle an infizierte Systeme zu schicken.

WERBUNG

"Das macht sie flexibel, weil HTTPS-Verbindungen eigentlich immer zugelassen werden. Gleichzeitig ist die Kommunikation verschlüsselt - das bedeutet, ihnen kann im Grunde niemand dazwischenfunken oder reinschauen."

Die Sicherheitsforscher von Cleafy schreiben, dass "DroidBot" bereits in mehreren europäischen Ländern zum Einsatz kam, darunter Italien, Frankreich, Großbritannien und Deutschland.

Google-Nutzer werden derzeit auch mit einer anderen Masche angegriffen, die Sie um ihr Geld bringen kann.

Frau hält Handy in der Hand.
Frau hält Handy in der Hand.

Opfer-Geräte befällt "DroidBot" dem Bericht zufolge über sogenanntes Sideloading - also das Herunterladen und Installieren von Apps über andere Kanäle als die offiziellen App-Stores. Immer wieder spielen dabei "Lockvögel" eine Rolle.

WERBUNG

"Wir kennen das von vielen Betrugsversuchen im Internet", sagt Atug. "Arglose Nutzer werden per Social Engineering so manipuliert, dass sie auf maliziöse Links klicken, schadhafte Dateien öffnen oder sich Software herunterladen, von der sie besser die Finger lassen sollten."

Das kann das Paket sein, das angeblich umgeleitet wurde. Und für das sich der User über einen Link die angebliche "DHL-App" herunterladen soll. Oder ein deutlich speziellerer Betrugsversuch, der mehr Wissen über eine Person voraussetzt.

Wie die Cleafy-Forscher schreiben, tarnt sich "DroidBot" meist als allgemeine Sicherheitsanwendung, Google-Dienst oder beliebte Banking-App.

Ein Mann mit einem Handy.
Ein Mann mit einem Handy.

Ist die Malware erst einmal installiert, können Kriminelle sie auf vielfältige Weise verwenden. Mit "DroidBot" lassen sich zum Beispiel SMS abfangen. Das können Angreifer nutzen, um die 2-Faktor-Authentifizierung beim Online-Banking auszuhebeln.

WERBUNG

Aber auch Keylogging, also das Erfassen sensibler Informationen, die ein User am Handy oder Tablet eintippt, ist mit "DroidBot" möglich. Genauso wie Overlay-Angriffe.

Will sich ein potenzielles Betrugsopfer beispielsweise in sein Online-Banking einloggen, erscheint eine falsche Anmelde-Maske. Die können Kriminelle nutzen, um dessen echte Login-Daten abzugreifen. Wer sich infiziert hat, steht womöglich bald vor einem leeren Konto.

Besonders perfide ist, dass "DroidBot" offenbar als "Malware-as-a-Service-System funktioniert. Das heißt: Die Entwickler der Schadsoftware, die laut Cleafy eventuell aus der Türkei stammen, bieten ihre kriminellen Dienste gegen Geld an.

Wie die Sicherheitsforscher berichten, erhalten Nutzer Support der Malware-Entwickler und sogar Zugang zu einem Telegram-Kanal, in dem regelmäßig Updates veröffentlicht werden. Die Einstiegshürden in kriminelle Machenschaften im Internet werden damit immer geringer.

Wer sich vor Malware wie "DroidBot" schützen will, sollte Apps nur aus den offiziellen App-Stores beziehen und sich von Fremden nicht unter Druck setzen lassen, bestimmte Anwendungen zu installieren, Dateien zu öffnen oder auf fragwürdige Links zu klicken. Es gilt: Ruhe bewahren und lieber einmal mehr nachdenken als einmal zu wenig.

Auch am Telefon treiben Betrüger ihr Unwesen. Bei bestimmten Anrufen empfiehlt es sich am besten direkt aufzulegen.

Das neu erschienene "avast Free Antivirus 2024" ist ein gelungenes und kostenloses Anti-Viren-Programm mit jeder Menge Schutzfunktionen.
CHIP Bewertung: Sehr gut zum Download

Die "avast Premium Security" ist der Oberklassen-Viren-Schutz und Internet-Schutz von Avast. Die Testversion können Sie jetzt bei uns downloaden und 30 Tage lang kostenlos ausprobieren.
CHIP Bewertung: Gut zum Download

Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.