Banking-Trojaner Svpeng missbraucht Android-Feature zum Datenklau
Sicherheitsforscher haben einen Android-Trojaner entdeckt, der es unter anderem in Deutschland auf Banking- und Kreditkarten-Daten abgesehen hat. Eine Infektion ist aber nicht ohne weiteres möglich.
(Bild: dpa, Britta Pedersen)
Eine von Kaspersky entdeckte Variante des Banking-Trojaners Svpeng hat es auf Android-Geräte abgesehen und soll seit Juli auf der Jagd nach Banking- und Kreditkarten-Daten sein. In ihrem Blog beschreiben die Sicherheitsforscher, wie der Schädling legitime Android-Funktionen ausnutzt, um Daten abzufischen. Kaspersky zufolge funktioniert die Angriffstechnik auch mit aktuellen Android-Versionen mit sämtlichen Updates.
Derzeit soll die Infektionsrate relativ niedrig sein; 27 Prozent aller Infektionen hat Kaspersky in Deutschland festgestellt. Hierzulande soll es der Trojaner auf zehn nicht näher beschriebene Online-Banking-Apps abgesehen haben.
Barrierefreiheit als Mittel zum Zweck
(Bild: Kaspersky )
Eine Infektion ist nicht ohne weiteres möglich: Svpeng lauert als Flash Player getarnt auf Webseiten. Ein Opfer muss demzufolge gezielt eine derartige Seite aufrufen, den Schädling herunterladen und installieren. Anschließend muss es sogar noch den Zugriff auf die Accessibility Services des Android-Systems erlauben. Dabei handelt es sich um Funktionen, mit deren Hilfe körperlich eingeschränkte Menschen ein Android-Gerät bedienen können. Erst wenn das alles erfüllt ist, kann Svpeng Daten abgreifen.
Der Zugriff auf die Accessibility Services ermöglichen es dem Trojaner, Eingaben aus User Interfaces zu kopieren, erläutern die Sicherheitsforscher. Zusätzlich versucht Svpeng, Screenshots anzufertigen. Einige Banking-Apps lassen dies jedoch nicht zu: Dann nutzt die Malware erneut die Accessibility Services, um Apps mit einer Phishing-Website zu überlagern.
Svpeng erlangt Adminrechte
Ganz neu ist der Missbrauch der Accessibility Services nicht: Bereits 2015 machte der Adware-Trojaner Shedun mit einer ganz ähnlichen Vorgehensweise von sich reden. Neu ist allerdings, dass es Svpeng laut Kaspersky möglich sein soll, sich Admin-Rechte zu verschaffen, um sich gegen jeden Entfernungsversuch zu wehren. Wie das funktioniert, geht aus dem Blogeintrag nicht hervor. Außerdem soll Svpeng SMS abfangen und Antiviren-Apps blockieren können. (ovw)
