Der kürzlich von "Heise Security" beschriebene Postbank-Trojaner für Smartphones hat sich nun in "Google Play" eingeschlichen. Der Anbieter von Smartphone-Security-Lösungen Lookout berichtet, dass sich die als Zertifikats-App getarnte Malware für einen Monat über den Appstore von Google verbreitet hat. Die "Zertsecurity" getaufte Schad-App könne unbemerkt gefälschte Überweisungen ausführen und mTANs abfangen.
Sicherer Zugang zu VPN und Outlook Web App
Stonesoft: Zehn Tipps zur sicheren Nutzung mobiler Geräte
Sicherheits-App schießt ein Foto des Smartphone-Diebs
Deutsche Mittelständler vernachlässigen die mobile Datensicherheit
Indem die Installation der App direkt über Googles Appstore erfolgt, benötigt die Anwendung keine Zulassung in den Android-Systemeinstellungen für die Installation einer Apps aus unbekannten Quellen. Die Verbreitung des Schadprogramms erfolgte laut Lookout in einer kleinen, verhältnismäßig zielgerichteten Phishing-Kampagne. Das Sicherheitsunternehmen hat nach eigener Aussage ausschließlich in Deutschland infizierte Geräte ausgemacht.
Bis zum Entfernen der Malware aus dem Store luden weniger als 100 Nutzer diese herunter. Dazu kommen weitere Installationen außerhalb von Googles Angebot, deren Anzahl sich nicht genau bestimmen lässt. Damit liege die Menge der Infektionen unter dem Wert erfolgreicher Premium-SMS-Trojaner. Dafür ist der Schaden pro Betroffenen deutlich höher.
Im Gegensatz zu den meisten anderen Banking-Trojanern wie „Zeus“ ist die Anwendung selbstständig und hat kein dazugehöriges Desktop-Pendant. Viel mehr greift sie alle benötigten Informationen mit einem einfachen Formular ab. Dadurch fordert das Schadprogramm den Nutzer auf, seine Kontonummer und den dazugehörigen PIN-Code einzugeben, die für den Online-Banking-Login nötig sind. Die Malware speichert diese Daten in ihrer Konfigurationsdatei und sendet eine Kopie an den Kommando-Server.
Während die Malware läuft, sendet sie laut Lookout auch die Inhalte aller eingehenden SMS an die C&C-(Command-and-Control-)Server und unterdrückt die Anzeige dieser Nachrichten auf dem infizierten Gerät, indem sie einen SMS-Receiver mit hoher Priorität registriert. Auf dies Weise ist die Malware in der Lage, die SMS zu empfangen, bevor irgendeine andere Anwendung die Möglichkeit dazu hat. Dies ermögliche es ihr, auf das Online-Banking zuzugreifen, Überweisungen zu tätigen und die Zwei-Faktor-Authentisierung per mTAN auszuhebeln.
Die App benutzt zwei C&C-Server, die in der verschlüsselten Konfigurationsdatei des Trojaners zu finden sind. Diese sind jedoch nun abgeschaltet. Weitere Information gibt es im Blog von Lookout unter blog.lookout.com/de/2013/05/05/zertsecurity.