Der Schadcode des BankBot wurde im Dezember 2016 entdeckt, im Januar dieses Jahres beschrieb Antiviren-Hersteller Dr. Web erstmals mehrere Apps mit dem eingebetteten Code. Nachdem Google über die gefährlichen Eigenschaften der Programme informiert worden war, nahm das Unternehmen die betroffenen Programme aus dem Play Store.
Kürzlich tauchte nun eine neue, überarbeitete Version des Schadcode auf, wie der Sicherheitsanbieter ESET berichtet. Er ist nun besser getarnt und nutzt die Bedienungshilfen von Android, um sich im System einzunisten. Im Google Play Store erschien die Software unter dem Namen Jewels Star Classic – Jewels Star ist ein populäres Smartphone-Spiel. Der Hersteller ITREEGAMER hat jedoch nichts mit der Malware zu tun. Nachdem der Anwender das Spiel heruntergeladen und installiert hatte, geschah erst einmal nichts. Das Spiel funktionierte jedoch einwandfrei. Erst 20 Minuten nach dem ersten Start meldete sich die in den Code eingebettete Malware und forderte den Benutzer auf, einen „Google Service“ zu aktivieren. Das Benachrichtigungsfenster ließ sich nur durch ein Antippen von „OK“ wieder schließen.
Anwender gibt Starthilfe
Dadurch wiederum wurde ein Installationsprozess ausgelöst. Google Service erschien danach in der Liste „Einstellungen – System – Bedienungshilfen“, war aber zunächst noch auf „Aus“ gestellt. Sobald der Anwender die neue App jedoch aktivierte, schnappte die Falle zu. Google Service forderte verschiedene Zugriffsrechte an. Sobald der Benutzer sie ihm durch Antippen von „OK“ gewährte, wurde der Bildschirm für einige Zeit gesperrt, angeblich, um ein Update einzurichten. In dieser Zeit veränderte die Malware verschiedene Systemeinstellungen. So erlaubte sie die Installation von Apps aus unbekannten Quellen, startete den eigentlichen BankBot, gab ihm Administratorberechtigungen, richtete den Trojaner als die Standard-App für SMS ein und gab ihm das Recht, sich über andere Apps zu legen. Damit war der die Schadsoftware arbeitsbereit.
Im Unterschied zu früheren Versionen, welche die Login-Formulare von verschiedenen Banken-Sites nachahmten, konzentrierte sich der neue Bot auf die Play-Store-App, die auf allen Android-Systemen vorhanden ist. Sobald der User das Programm aufrief, ließ die App ein Formular aufpoppen, das zur Eingabe der Kreditkartendaten aufforderte. Da die Malware zudem Zugriff auf die SMS-Kommunikation bekommen hatte, konnte sie auch die Zwei-Faktor-Authentifizierung austricksen, bei der die Bank dem Kunden eine SMS mit einem Bestätigungscode schickt.
Google hat die App Jewels Star Classic mittlerweile aus dem Store gelöscht. Wer sich nicht sicher ist, ob er das Programm vielleicht installiert und wieder gelöscht hat, sollte überprüfen, ob bei ihm eine App namens Google Service installiert ist. Ein weiteres Indiz für das Vorhandensein der Trojaner-Software ist der Eintrag „System Update“ unter „Einstellungen – Sicherheit – Geräteadministratoren“. Ganz allgemein sollte man bei Apps generell darauf achten, wie oft sie bereits heruntergeladen wurden und vor allem, welche Berechtigungen sie einfordern. Als Faustregel gilt: Je mehr Downloads, desto besser. Und je weniger Berechtigungen, desto besser.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland.