zurück zum Artikel

Banking-Trojaner Svpeng missbraucht Android-Feature zum Datenklau

Olivia von Westernhagen
Android: Sicherheitslücke Stagefright

(Bild: dpa, Britta Pedersen)

Sicherheitsforscher haben einen Android-Trojaner entdeckt, der es unter anderem in Deutschland auf Banking- und Kreditkarten-Daten abgesehen hat. Eine Infektion ist aber nicht ohne weiteres möglich.

Eine von Kaspersky entdeckte Variante des Banking-Trojaners Svpeng hat es auf Android-Geräte abgesehen und soll seit Juli auf der Jagd nach Banking- und Kreditkarten-Daten sein. In ihrem Blog beschreiben die Sicherheitsforscher [1], wie der Schädling legitime Android-Funktionen ausnutzt, um Daten abzufischen. Kaspersky zufolge funktioniert die Angriffstechnik auch mit aktuellen Android-Versionen mit sämtlichen Updates.

Derzeit soll die Infektionsrate relativ niedrig sein; 27 Prozent aller Infektionen hat Kaspersky in Deutschland festgestellt. Hierzulande soll es der Trojaner auf zehn nicht näher beschriebene Online-Banking-Apps abgesehen haben.

Barrierefreiheit als Mittel zum Zweck

Kaspersky

Svpeng überlagert Apps mit Phishing-Sites wie dieser.

(Bild: Kaspersky [2] )

Eine Infektion ist nicht ohne weiteres möglich: Svpeng lauert als Flash Player getarnt auf Webseiten. Ein Opfer muss demzufolge gezielt eine derartige Seite aufrufen, den Schädling herunterladen und installieren. Anschließend muss es sogar noch den Zugriff auf die Accessibility Services des Android-Systems [3] erlauben. Dabei handelt es sich um Funktionen, mit deren Hilfe körperlich eingeschränkte Menschen ein Android-Gerät bedienen können. Erst wenn das alles erfüllt ist, kann Svpeng Daten abgreifen.

Der Zugriff auf die Accessibility Services ermöglichen es dem Trojaner, Eingaben aus User Interfaces zu kopieren, erläutern die Sicherheitsforscher. Zusätzlich versucht Svpeng, Screenshots anzufertigen. Einige Banking-Apps lassen dies jedoch nicht zu: Dann nutzt die Malware erneut die Accessibility Services, um Apps mit einer Phishing-Website zu überlagern.

Svpeng erlangt Adminrechte

Ganz neu ist der Missbrauch der Accessibility Services nicht: Bereits 2015 machte der Adware-Trojaner Shedun [4] mit einer ganz ähnlichen Vorgehensweise von sich reden. Neu ist allerdings, dass es Svpeng laut Kaspersky [5] möglich sein soll, sich Admin-Rechte zu verschaffen, um sich gegen jeden Entfernungsversuch zu wehren. Wie das funktioniert, geht aus dem Blogeintrag nicht hervor. Außerdem soll Svpeng SMS abfangen und Antiviren-Apps blockieren können. (ovw [6])

URL dieses Artikels:
https://www.heise.de/-3790702

Links in diesem Artikel:
[1] https://securelist.com/a-new-era-in-mobile-banking-trojans/79198/
[2] https://securelist.com/a-new-era-in-mobile-banking-trojans/79198/
[3] https://www.heise.de/news/Google-I-O-2016-Android-N-mit-Barrierefreiheit-fuer-jedermann-3210567.html
[4] https://www.heise.de/news/Android-Malware-Werbeterror-wie-von-Geisterhand-3009688.html
[5] https://securelist.com/a-new-era-in-mobile-banking-trojans/79198/
[6] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2017 Heise Medien