Faketoken versteckt sich hinter Spielen und Programmen

Mobiler Bank-Trojaner verschlüsselt jetzt Nutzerdaten

20. Dezember 2016, 9:55 Uhr | Von Timo Scheibe.

Die IT-Security-Experten von Kaspersky Lab haben eine Modifikation des mobilen Banking-Trojaners Faketoken identifiziert. Dieser soll sich hinter zahlreichen Spielen und Programmen, wie etwa Adobe Flash Player, verstecken und Nutzerdaten verschlüsseln. Außerdem sei er in der Lage, die Zugangsdaten von mehr als 2.000 Android-Finanz-Apps abzugreifen. Der Security-Anbieter geht von 16.000 Opfern aus 27 Ländern aus. Neben Deutschland sei die Malware vor allem in Russland, in der Ukraine und in Thailand aktiv.

Laut Kasperksy ist die hinzugefügte Verschlüsselungsfunktion unüblich für mobile Ransomware, da diese es normalerweise eher auf das Blockieren des Geräts als auf die Verschlüsselung von Daten abgesehen hat. Schließlich würden Anwender ihre Daten häufig in der Cloud absichern. Faketoken soll hingegen Nutzerdaten wie Dokumente, Videos oder Fotos mit dem symmetrischen Verschlüsselungsalgorithmus AES verschlüsseln. Laut Kaspersky lässt sich dieser in gewissen Fällen ohne Zahlung von Lösegeld entschlüsseln.

Bei der Erstinfektion fordere der Trojaner zunächst Administrator- oder Overlay-Rechte für andere Apps oder die Berechtigung als Standard-SMS-App ein. Dabei hat der Anwender nach Meinung der Security-Experten in den meisten Fällen keine Wahlmöglichkeit. Mit den erzwungenen Rechten habe Faketoken dann Zugriff auf Kontaktdaten und Dateien der Nutzer. Außerdem würden nach Angaben von Kaspersky weitere Daten über Phishing gestohlen.

faketoken_eng_6
Über angepasst Phishing-Nachrichten späht Faketoken anschließend die Gmail-Nutzerdaten der Opfer aus. Bild: Kaspersky Lab

Nach der Installation hole sich der Schadcode von seinem Command-and-Controll-Server eine Datenbank mit Textbausteinen in 77 Sprachen. Aus ihnen generiert er laut Kaspersky auf das jeweilige Operationsgebiet sprachlich angepasste Phishing-Nachrichten, mit denen die Malware anschließend die Gmail-Zugangsdaten der Opfer ausgespähe. Über ein Overlay des Google Play Stores und eine passend dazu gefälschte Web-Seite käme der Trojaner zudem auch an Kreditkartendaten heran. Mittlerweile haben die Experten von Kaspersky Lab nach eigenen Angaben 2.249 einzelne Finanz-Apps identifiziert, für die Faktetoken gefälschte Web-Seiten generieren kann. Weiterhin unklar ist für die Security-Forscher, warum die Malware auf den Android-Geräten der Nutzer darüber hinaus Shortcuts für Soziale Netzwerke, Messanger und Web-Browser mit eigenen Anwendungen zu ersetzen versucht.

Im Hinblick auf Faketoken und andere Trojaner rät Kaspersky daher allen Android-Anwendern regelmäßige Backups der Daten auf den Geräten durchzuführen und bei der Vergabe von Rechten genau prüfen, ob Apps diese tatsächlich benötigen. Auch sollen Nutzer entsprechende Sicherheitslösungen auf ihrem Gerät installieren.

Weitere Informationen finden sich unter securelist.com/blog/research/76913/the-banker-that-encrypted-files.

Timo Scheibe ist Redakteur bei der LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu ioSafe

Weitere Artikel zu Hisense Germany

Weitere Artikel zu Basler AG

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Weitere Artikel zu Desko GmbH

Weitere Artikel zu Airtight Networks

Matchmaker+