Fieser Android-Trojaner aufgetaucht: Wer nicht aufpasst, riskiert leeres Konto
Ein Android-Trojaner versteckt sich aktuell auf Android-Geräten als Google-Dienst oder Bank-App – dabei besteht die Gefahr, dass er Ihr Konto leer räumt.
"DroidBot" - so heißt ein neuer Remote-Access-Trojaner (RAT) für Android, vor dem Experten des Online-Betrugsmanagement- und Präventionsunternehmens Cleafy warnen. Die Malware ist wohl schon seit Juni 2024 im Einsatz.
Im Bericht der Sicherheitsforscher steht, dass "DroidBot" versteckte VNC- und Overlay-Angriffstechniken mit spyware-ähnlichen Funktionen wie Keylogging und Benutzeroberflächen-Überwachung kombiniert.
"Das bedeutet, dass Angreifer sich aus der Ferne auf ein Smartphone aufschalten können, aber ohne, dass es der Nutzer merkt", sagt Manuel Atug im Gespräch mit CHIP.
"Gleichzeitig wird alles, was User machen, aufgezeichnet." Atug ist Cybersicherheits-Experte und arbeitet seit mehreren Jahrzehnten im Bereich IT-Sicherheit.
Der optimale Schutz für Ihren PC
"DroidBot": So funktioniert der Android-Trojaner
"DroidBot" nutzt, so ist es in der Cleafy-Analyse zu lesen, Dual-Channel-Kommunikation, überträgt ausgehende Daten über "Message Queuing Telemetry Transport" (MQTT) und empfängt eingehende Befehle über Hypertext Transfer Protocol Secure (HTTPS).
"Über Message Queuing stellen Angreifer sicher, dass die Daten, die sie abfangen wollen, gespeichert werden und regelmäßig bei ihnen ankommen", sagt Atug. HTTPS ist seiner Einschätzung nach "gängige" Praxis Cyberkrimineller, um Signale und Befehle an infizierte Systeme zu schicken.
"Das macht sie flexibel, weil HTTPS-Verbindungen eigentlich immer zugelassen werden. Gleichzeitig ist die Kommunikation verschlüsselt - das bedeutet, ihnen kann im Grunde niemand dazwischenfunken oder reinschauen."
Die Sicherheitsforscher von Cleafy schreiben, dass "DroidBot" bereits in mehreren europäischen Ländern zum Einsatz kam, darunter Italien, Frankreich, Großbritannien und Deutschland.
Google-Nutzer werden derzeit auch mit einer anderen Masche angegriffen, die Sie um ihr Geld bringen kann.
So kann "DroidBot" auf die Geräte der Opfer gelangen
Opfer-Geräte befällt "DroidBot" dem Bericht zufolge über sogenanntes Sideloading - also das Herunterladen und Installieren von Apps über andere Kanäle als die offiziellen App-Stores. Immer wieder spielen dabei "Lockvögel" eine Rolle.
"Wir kennen das von vielen Betrugsversuchen im Internet", sagt Atug. "Arglose Nutzer werden per Social Engineering so manipuliert, dass sie auf maliziöse Links klicken, schadhafte Dateien öffnen oder sich Software herunterladen, von der sie besser die Finger lassen sollten."
Das kann das Paket sein, das angeblich umgeleitet wurde. Und für das sich der User über einen Link die angebliche "DHL-App" herunterladen soll. Oder ein deutlich speziellerer Betrugsversuch, der mehr Wissen über eine Person voraussetzt.
Wie die Cleafy-Forscher schreiben, tarnt sich "DroidBot" meist als allgemeine Sicherheitsanwendung, Google-Dienst oder beliebte Banking-App.
"DroidBot" hat zahlreiche erschreckende Funktionen
Ist die Malware erst einmal installiert, können Kriminelle sie auf vielfältige Weise verwenden. Mit "DroidBot" lassen sich zum Beispiel SMS abfangen. Das können Angreifer nutzen, um die 2-Faktor-Authentifizierung beim Online-Banking auszuhebeln.
Aber auch Keylogging, also das Erfassen sensibler Informationen, die ein User am Handy oder Tablet eintippt, ist mit "DroidBot" möglich. Genauso wie Overlay-Angriffe.
Will sich ein potenzielles Betrugsopfer beispielsweise in sein Online-Banking einloggen, erscheint eine falsche Anmelde-Maske. Die können Kriminelle nutzen, um dessen echte Login-Daten abzugreifen. Wer sich infiziert hat, steht womöglich bald vor einem leeren Konto.
Besonders perfide ist, dass "DroidBot" offenbar als "Malware-as-a-Service-System funktioniert. Das heißt: Die Entwickler der Schadsoftware, die laut Cleafy eventuell aus der Türkei stammen, bieten ihre kriminellen Dienste gegen Geld an.
"DroidBot": So vermeiden Sie Malware auf Ihrem Handy
Wie die Sicherheitsforscher berichten, erhalten Nutzer Support der Malware-Entwickler und sogar Zugang zu einem Telegram-Kanal, in dem regelmäßig Updates veröffentlicht werden. Die Einstiegshürden in kriminelle Machenschaften im Internet werden damit immer geringer.
Wer sich vor Malware wie "DroidBot" schützen will, sollte Apps nur aus den offiziellen App-Stores beziehen und sich von Fremden nicht unter Druck setzen lassen, bestimmte Anwendungen zu installieren, Dateien zu öffnen oder auf fragwürdige Links zu klicken. Es gilt: Ruhe bewahren und lieber einmal mehr nachdenken als einmal zu wenig.
Download: avast Virenscanner
Avast Free Antivirus 2024 v24.8
Das neu erschienene "avast Free Antivirus 2024" ist ein gelungenes und kostenloses Anti-Viren-Programm mit jeder Menge Schutzfunktionen.
CHIP Bewertung: Sehr gut zum Download
Avast Premium Security 2024 v24.8
Die "avast Premium Security" ist der Oberklassen-Viren-Schutz und Internet-Schutz von Avast. Die Testversion können Sie jetzt bei uns downloaden und 30 Tage lang kostenlos ausprobieren.
CHIP Bewertung: Gut zum Download
Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.