Sicherheitsforscher warnen vor einem Android-Schädling, der es vor allem auf Bank- und Kreditkarten-Daten abgesehen hat. Die Malware-Entwicklern sollen den Funktionsumfang zügig ausbauen.

Fortinet ist nach eigenen Angaben auf einen aktuellen Android-Trojaner mit der Bezeichnung GT!tr.spy gestoßen, der es in erster Linie auf Kreditkarten- und Log-in-Daten von deutschen und österreichischen Bank-Kunden abgesehen hat. Davon sollen Kunden von nicht näher beschriebenen 15 deutschen und fünf österreichischen Banken bedroht sein – Tendenz steigend, warnen die Sicherheitsforscher.

Infektion nicht ohne Weiteres möglich

Die Malware soll sich unter anderem als Banking- und E-Mail-App tarnen. Ob der Schädling in Google Play zu finden ist, ist derzeit nicht bekannt. Wahrscheinlich lauert der Trojaner in App Stores von Dritt-Anbietern. In diesem Fall muss ein Android-Nutzer explizit erlauben, dass er Apps aus unbekannten Quellen installieren kann. Unbekannt ist auch, welche Android-Versionen bedroht sind.

Ist ein Gerät mit GT!tr.spy infiziert, soll der Schädling weitreichende Rechte einfordern. Nickt ein Opfer diese ab, kann der Trojaner etwa SMS verschicken und Telefonate führen, warnen die Sicherheitsforscher. Zudem soll der Trojaner in der Lage sein, verschiedene Anti-Viren-Anwendungen auszutricksen.

Um Bezahl-Daten zu kopieren, soll GT!tr.spy beim Verwenden einer Banking-App Phishing-Einblendungen im Layout-Stil verschiedener Banken zwischenschalten. Eingegebene Daten sollen direkt bei den Kriminellen landen.

Rasante Evolution

Den Sicherheitsforschern zufolge statten die Malware-Entwickler den Schädling rasant mit neuen Funktionen aus und lassen neue Varianten vom Stapel. Innerhalb eines Tages stießen sie eigenen Angaben zufolge auf eine weitere Ausgabe, die sich auch in Bezahl-Prozesse von Google Play und Skype klinken kann. Zudem soll GT!tr.spy es nun auch auf Log-in-Daten von Facebook & Co. abgesehen haben.

Erkennen und loswerden

Den Sicherheitsforschern zufolge ist es schwierig, eine Infektion zu erkennen, da GT!tr.spy das Icon der Fake-App versteckt und sein Schadenswerk heimlich im Hintergrund verrichtet. Ob diese App auch in der Auflistung der installierten Apps verborgen ist, führt Fortinet nicht aus. Möglicherweise kann man dort nach einer Fake-App Ausschau halten, die man nicht eindeutig zuordnen kann. Generell sollte man keine Banking-Apps aus App Stores von Dritt-Anbietern installieren.

Um den Schädling loszuwerden, müssen Opfer der Malware in den Android-Einstellungen die Admin-Rechte entziehen. Anschließend soll man GT!tr.spy über die Android Debug Bridge (ADB) deinstallieren können.

Quelle: //heise.de/-3494472