36 Apps betroffen

Banking-Trojaner greift selbst sichere Android-Smartphones an

Ein Sicherheitsunternehmen hat eine schwerwiegende Schwachstelle auf Android-Smartphones gefunden. Diese kann potentiell von bösartigen Apps genutzt werden, um Zugriff auf die Bankdaten von Nutzern zu erhalten.

Android-Smartphones, selbst mit den neuesten Sicherheitspatches, sind angreifbar wegen der „Strandhogg“-Sicherheitslücke. Diese wurde von Forschern der Sicherheitsfirma Promon entdeckt und auf deren Webseite veröffentlicht. Sie wird von 36 bösartigen Apps ausgenutzt, Millionen von Android-Smartphones sind betroffen.

Als Banking-Apps getarnte Trojaner

Die Schwachstelle erlaubt es bösartigen Apps, sich als legitime Apps zu tarnen, die bereits auf dem Smartphone installiert wurden und Zugriff auf Dinge wie Speicher, Nachrichten, Kamera und Mikrofon haben. Derartig getarnt können die Apps dann um Erlaubnis fragen, verschiedene Aufgaben durchführen, wie etwa Audio und Video aufzunehmen, Nachrichten zu lesen und Login-Daten einzusehen.

Auch interessant: Sicherheitslücke ermöglichte heimlich Zugriff auf Kameras von Android-Smartphones

36 Android-Apps infiziert

Lookout, ein Promon-Partner, hat im Auftrag von Promon überprüft, welche Apps diese Schwachstelle nutzen können und konnte 36 Apps bösartige Apps identifizieren. Auch der seit 2017 bekannte „Bankbot“-Trojaner zählt dazu. Bankbot konnte bereits mehrmals Googles offiziellen Play Store infiltrieren und musste entfernt werden. Die Malware ist designt, um die Bankkonten der betroffenen Nutzer leerzuräumen. Die Schwachstelle kann aber auch für andere Zwecke missbraucht werden, darunter das Stehlen von Login-Daten oder das Mitlauschen über das Smartphone-Mikrofon.

Laut Arstechnica haben weder Promon noch Lookout angegeben, welche diese 36 Apps sind. Zumindest wurden die Apps von Google aus dem Play Store entfernt. In Drittanbieter-Stores könnten die Apps aber weiterhin zu finden sein.

Nutzer können Attacke kaum erkennen

Die bösartigen Apps legen einfach ihre Oberfläche über die Oberfläche von legitimen Apps. Dieser Vorgang wird als Overlay bezeichnet und gibt dem Nutzer den Anschein, als ob die legitime App nach Erlaubnissen fragen würde. Eigentlich hat Android einen eingebauten Schutz gegen Overlay-Attacken, aber laut Lookout kann Strandhogg diesen Schutz auch bei aktuellen Android-Versionen umgehen. Die Apps können nach jeder beliebigen Erlaubnis fragen und Nutzer können sich nur wehren, wenn sie auf „Nein“ klicken.

Die Schwachstelle ist in der in Android integrierte „TaskAffinity“-Funktion zu finden. TaskAffinity erlaubt die eigentlich sehr praktische Funktion, das Overlays von anderen Apps in einer bestimmten Apps angezeigt werden können, ohne sie dabei zu schließen. Das können die bösartigen Apps ausnutzen und beim Start der als sicher geglaubten Banking-App ihr eigenen Fenster darüber legen. Dafür muss die bösartige App nur wie die gehackte App aussehen, damit der unwissende Nutzer keinen Unterschied erkennt.

Attacken durch Banking-Trojaner werden immer häufiger. Laut Lookout konnte im Februar 2018 festgestellt werden, dass über 60 Finanzinstitute weltweit 7700 Mal von dem Banking-Trojaner „BancaMarStealer“ angegriffen wurden.

Auch interessant: Apple gibt zu – diese iPhone-Modelle orten ihre Besitzer ständig

So können Sie sich schützen

Leider gibt es keinen generellen Schutz vor der Overlay-Attacke. Einige Banking-Apps sind sicher, andere nicht. Arstechnica gibt Nutzern

  • Wenn eine App nach ihren Login-Daten fragt, obwohl Sie bereits angemeldet sind
  • Zugriffs-Pop-ups, die keinen App-Namen enthalten
  • Zugriffsanfragen von Apps, die keinen Zugriff die erfragten Erlaubnisse haben sollten, wie z.B. eine Taschenrecher-App, die Zugriff auf GPS haben will
  • Rechtschreibfehler und grafische Fehler in der Benutzeroberfläche
  • Buttons und Verlinkungen, die auf nichts verweisen
  • Die Zurücktaste oder -geste funktioniert nicht richtig

Themen