15.04.2024, 10:57 Uhr | Lesezeit: 3 Minuten
Ein bekannter Banking-Trojaner ist durch neue Fähigkeiten noch gefährlicher geworden. Die Malware kann nun über verschiedene Wege an die Kontodaten von Smartphone-Nutzern gelangen.
Das Sicherheitsunternehmen Threat Fabric hatte erstmals im Sommer 2021 über den Banking-Trojaner „Vultur“ berichtet. Damals gelang die Malware über infizierte Apps aus dem Google Play Store auf Nutzergeräte. Seitdem haben die Entwickler den Trojaner aber mit zahlreichen neuen Fähigkeiten ausgestattet, die ihn gefährlicher denn je machen.
„Vultur“-Trojaner mit neuen Fähigkeiten
„Vultur“ benutzt nach wie vor sogenannte Dropper-Apps, um an Banking-Daten zu kommen. Diese sind als legitime Apps getarnt und erfüllen in der Regel ihre angegeben Funktion. Doch nach der Installation kommunizieren sie mit einem Remote-Server. Der Server sendet dann einen verschlüsselten Payload an das Smartphone, in dem die eigentliche Malware enthalten ist, TECHBOOK berichtete.
Einem Report der Sicherheitsfirma Fox-IT zufolge haben Angreifer nun aber eine neue Vertriebsmöglichkeit für Vultur gefunden. Hintergrund ist die sogenannte Telephone-Oriented Attack Delivery (TOAD; dt. „Telefonorientierte Angriffsübermittlung“). Dabei kommt eine Kombination von SMS-Nachrichten und Telefonanrufen zum Einsatz, um eine neue Version der Malware auf den Endgeräten zu installieren.
Der Angriff startet mit einer SMS, die den Empfänger dringend dazu auffordert, eine Nummer anzurufen, um die Transaktion einer großen Geldsumme freizugeben. Während des Anrufs kommt eine zweite SMS mit dem Link zu einer Malware-infizierten Version der „McAfee Security“-App an. Die App stammt aus dem bekannten „Brunhilda Project“ und sieht auf den ersten Blick harmlos aus. Sie bietet zudem die Funktion der echten McAfee-App, installiert aber im Hintergrund gleich drei „Vultur“-Payloads. Diese geben den Angreifern die vollständige Kontrolle über das Smartphone. Sie können nicht nur das Smartphone aus der Ferne bedienen, sondern sogar Apps löschen und installieren sowie Dateien finden und öffnen. Selbst die Bildschirmsperre lässt sich mit der Malware umgehen. Nutzer können aus bestimmten Apps ausgeschlossen werden.
Damit bekommen die Angreifer Zugriff auf sensible Informationen für eine beliebige Anzahl von Apps – darunter auch Anmeldedaten und Passwörter. Durch die Darstellung von gefälschten Bildschirminhalten können sie das sogar ohne das Wissen der Nutzer tun.
Banking-Trojaner 5 Apps, die Ihr Bankkonto auf dem Handy bedrohen
Mehr als 300.000 Geräte betroffen Virenverseucht! Diese Apps sollten Sie sofort löschen
Infizierte Apps sofort löschen! Diese Malware-Kampagnen bedrohen derzeit Android-Geräte und iPhones
Das können Nutzer tun
Zwar gibt Google an, dass Nutzer automatisch durch Play Protect vor dieser Art von Malware geschützt sind. Da der Banking-Trojaner Vultur aber immer weiter entwickelt wird, gibt es keine hundertprozentige Absicherung.
Es liegt also an den Nutzern selbst, nicht auf unseriöse SMS zu reagieren und auf keinen Fall eine darin befindliche, unbekannte Nummer anzurufen. Sollte es doch einmal vorkommen, ist es wichtig, keine Apps aus anderen Quellen als dem Google Play Store zu installieren. Denn erst damit bekommen Angreifer vollständigen Zugriff auf das Smartphone und können sensible Daten abgreifen.