Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Google Play Store: Banking-Trojaner nimmt europäische Nutzer ins Visier

Im Google Play Store tauchen Varianten des Anatsa-Banking-Trojaners auf. Sie kommen auf ĂĽber 100.000 Installationen.

In Pocket speichern vorlesen Druckansicht 78 Kommentare lesen
Stilisierte Grafik: zersplittertes Google Play Store Logo, aus dem Viren kommen

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

IT-Forscher haben Malware-Kampagnen beobachtet, bei denen die Drahtzieher den Banking-Trojaner Anatsa verteilen. Im Visier stehen europäische Nutzer. In den letzten vier Monaten kam es zu mehr als 100.000 Installationen davon.

In ihrer Analyse schreiben die IT-Forensiker von Threatfabric, das neben Deutschland, Spanien und dem Vereinigten Königreich seit November vergangenen Jahres in fünf Kampagnen-Wellen der Fokus auch auf arglose Nutzer aus Slowenien, der Slowakei, und der Tschechischen Republik lag. Die IT-Forscher ordnen die Angriffe als gezielt ein, da sie sich jedes Mal auf drei bis fünf Regionen konzentrierten.

Malware im Google Play Store

In den jeweils anvisierten Regionen bewerben die Cyberkriminellen Dropper-Apps im regionalen Google Play-Store. Oftmals erreichen die Apps sogar eine Top-3-Platzierung in der "Top New Free"-Kategorie, schreiben die Analysten. Das erhöhe auch die Glaubwürdigkeit und lasse die potenziellen Opfer weniger argwöhnisch gegenüber der App werden, was die Wahrscheinlichkeit für eine erfolgreiche Infiltration erhöhe.

Nicht nur die Kampagnen wanderten von Region zu Region, auch die Malware und ihre Verteilung würde demnach stets weiter verfeinert. Zuletzt kamen der Missbrauch der Eingabehilfen, angepasste mehrstufige Infektionsvorgänge und die Fähigkeit, die mit Android 13 eingeführten eingeschränkten Einstellungen zu umgehen. Um der Erkennung zu umgehen, nutzen alle Dropper einen mehrstufigen Ansatz, um dynamisch Konfigurationen und bösartige ausführbare Dateien herunterzuladen und ihre Befehle vom Command-and-Control-Server zu erhalten. Die Drahtzieher können ihre Kampagnen dadurch, wenn nötig, flexibel anpassen. Die Analyse geht weiter auf die Details dazu ein.

Eine beispielhafte Anatsa-Dropper-App im Google Play Store. Oftmals erreichen sie die Top-3-Liste der kostenlosen Apps in der angegriffenen Region.

(Bild: Threatfabric)

Die fünf Anatsa-Dropper-Apps aus der aktuellen Kampagne kommen auf mehr als 100.000 Installationen, schreibt Threatfabric weiter. In der ersten Jahreshälfte 2023 kamen die sechs eingesetzten Dropper-Apps auf etwa 130.000 Installationen. Anatsa sei ein Banking-Trojaner mit der Fähigkeit, die Kontrolle über infizierte Geräte zu übernehmen. Daher sollten Finanzinstitute ihre Kunden über das Risiko der App-Installation aufklären, auch aus den offiziellen Stores der Plattformen. Besondere Vorsicht ist geboten bei der Vergabe von Rechten für die Eingabehilfen, die diese Apps für ihren angeblichen Einsatzzweck gar nicht benötigen.

Android-Malware schafft inzwischen auch den Sprung auf Apples iOS-Geräte. Der Trojaner GoldPickaxe war ursprünglich auf Android ausgerichtet, wurde aber von offenbar asiatischen Cybergangstern auf iOS portiert.

(dmk)

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten