Per Internet bot der Betrüger Mobiltelefone an, verchwand aber mit dem Geld (Symbolfoto).

Fake Antiviren-App installiert Banktrojaner

06.09.2022

Rund 60.000 Nutzer*innen weltweit luden die Schadsoftware "Sharkbot" vom Google Play Store auf ihr Smartphone.

Dieser Artikel ist älter als ein Jahr!

Der bekannte Banktrojaner „Sharkbot“ ist wieder im Google Play Store aufgetaucht. Diesmal versteckte sich die Schadsoftware in 2 ungefährlich anmutenden Android-Apps, die im Store zum Download angeboten wurden. Das fanden IT-Expert*innen der Cybersecurityfirma „Fox-IT“ heraus.

Zehntausende Downloads

Sharkbot installierte sich über den Download der vermeintlichen Antiviren-App „Kylhavy Mobile Security” sowie der Anwendung „Mister Phone Cleaner“, die für mehr Speicherplatz auf Smartphones sorgen soll. Rund 60.000-mal wurden die Anwendungen laut den Sicherheitsexpert*innen heruntergeladen, bevor Google sie aus dem Play Store entfernen ließ.

Die Angreifer*innen hatten es vor allem auf User*innen aus Spanien, Australien, Polen, Deutschland, den USA sowie Österreich abgesehen. Um die beiden Apps in den Play Store einzuschleusen, wandten sie einen Kniff an: Bei der Einreichung für den Store enthielten beide Anwendungen noch keine gefährlichen verdächtigen Codebestandteile, so Fox-IT. Daher habe die automatische Überprüfung von Google nicht angeschlagen. Erst später, sobald die harmlos wirkenden Apps installiert waren, wurde durch ein Update der Sharkbot-Schadcode auf dem Smartphone platziert.

Google hat die App "Mister Phone Cleaner" inzwischen gelöscht. Auf anderen Webseiten ist sie allerdings noch zum Download erhältlich.

© Screenshot/apksos.com

Sharkbot stiehlt Online-Banking-Login

Ist der Schadcode auf dem Android-Gerät installiert, sind die Angreifer*innen in der Lage, Login-Daten von Online-Banking-Apps zu stehlen. Dies geschieht über Cookies, die die jeweiligen Apps verwenden. Sobald sich Besitzer*innen in ihr Bankkonto einloggen, wird der Login-Cookie abgegriffen und die Kriminellen können sich Zugang zum Account verschaffen. Laut Fox-IT sei dies aber nur in wenigen Fällen gelungen.

Die Sharkbot-Malware wurde im Oktober 2021 von Cybersecurityforscher*innen entdeckt. Im Februar dieses Jahres tauchte sie schließlich erstmals in einer vermeintlichen Antiviren-App auf. Seither hat sich Sharkbot weiterentwickelt. Damals mussten User*innen der App noch gewisse Freigaben erteilen, um die Schadsoftware auf dem Smartphone zu installieren. Dies habe bei Nutzer*innen allerdings die Alarmglocken läuten lassen, so Fox-IT, weshalb man die App wohl weiterentwickelt habe und sich nun über Cookies Zugang verschaffe.

Wer die App bereits auf seinem Smartphone installiert hat, sollte sie entfernen und das Gerät mit einer vertrauenswürdigen Antiviren-Software scannen. Die futurezone hat alle Details zum richtigen Vorgehen hier zusammengefasst.