Mal wieder beunruhigende Nachrichten: Im Google Play Store wurden Apps entdeckt, die einen Banking-Trojaner beinhalteten. Der Google Play Store ist keineswegs Garant, dass man dort “saubere” Apps bekommt – und das Problem dürfte sich künftig verschärfen.
Vor einigen Tagen bin ich bei Bleeping Computer erneut auf das Thema Sicherheit bei Android-Apps gestoßen. Mitte Dezember 2016 wurde der Quellcode für einen Android-Trojaner in einem russischen Untergrundforum gepostet. Sicherheitsspezialisten rechneten dann damit, dass es nicht lange dauern würde, bis der Code in Android-Apps Eingang findet.
Es dauerte gerade mal einen Monat, bis angepasster Code in Android-Apps integriert war. Sicherheitsforscher von Dr.Web haben dann bereits Mitte Januar 2017 die ersten Fälle eines solchen Bank-Trojaners in Android-Apps aufgedeckt. Die App mit integriertem Banking-Trojaner wurden dann per Dritthersteller App-Stores angeboten und zielte erfolgreich auf russischen Bankkunden.
Gut, die gängige Meinung ist, dass man Apps aus Sicherheitsgründen aus dem Google Play Store bezieht. Da ist alles sicher, schließlich hat Google “den Daumen drauf”. Im Blog hatte ich ja häufiger Artikel, dass im Google Play Store mit Malware verseuchte Apps gefunden wurden.
ESET deckt weitere Banking-Trojaner auf
Nun haben Sicherheitsforscher von ESET zwei Apps aufgetan, die im Google Play Store angeboten wurden und den Trojaner-Code enthielte. Der erste Fall einer Wetter-App wurde von ESET in diesem Blog-Beitrag beschrieben. Die App kam am 4. Februar 2017 in den Store, wurde 2 Tage später von ESET an Google gemeldet und dann aus dem Store geworfen. Bis zu diesem Zeitpunkt hatten wohl 5.000 Nutzer die App geladen. Google kann die App zwar von den Geräten löschen – aber der Schaden ist möglicherweise bereits passiert. Der Banking-Trojaner zielte auf 22 türkische Banken.
(Quelle: ESET/Google-Play-Store)
Ein dritter Angriffsversuch lief ebenfalls über eine App im Google Play Store und wurde von ESET in diesem Blog-Beitrag thematisiert. Es handelte sich um eine neue Version der Wetter-App, die erneut auf 22 türkische Banken zielte und zu einem Botnetz gehörte. Auf Betreiben von ESET wurden die C&C-Server von den Hostern außer Betrieb gesetzt. Auch in Deutschland gibt der ESET-Bericht 10 Betroffene an. Ergänzung: Ein paar Ergänzungen in deutscher Sprache finden sich hier.
Risiko Online-Banking
Es läuft wohl auf ein Katz & Maus-Spiel hinaus: Kriminelle stellen eine modifizierte Android-App in einen App-Store und warten, bis der Nutzer anbeißt. Gerade wegen der Sicherheitsmängel sollten Smartphones und vor allem Banking-Apps auf Smartphones für Online-Banking absolut tabu sein. Obwohl: Die Banken interessiert das nicht – von den sogenannten FinTechs getrieben (siehe), werden Banking-Apps auf Teufel komm raus an die Kunden gebracht. Komfort geht vor, Sicherheit interessiert nicht. Ich verweise auf die Artikel Sicherheitsmängel beim Bank-Startup N26: Eine Frage der Prioritäten (netzpolitik.org) und 33C3: Schwere Sicherheitsmängel beim Bank-Startup N26 aufgedeckt (heise.de).
Von ESET gibt es seit kurzem den PDF-Bericht Read The Manual – A Guide to the RTM Banking Trojan, der sich mit Banking-Trojanern der Gruppe RTM befasst. Die in Delphi geschriebenen Trojaner verwenden ausgefeilte Methoden und leiten einen neuen Trend ein.
Schaut so aus, als ob das Thema Banking in eine neue Sicherheitsproblematik rauscht. Die Branche möchte es dem Kunden so einfach als möglich machen – notfalls auf Kosten der Sicherheit. Die Zahl der Betrugsversuche nimmt zu – und der Kunde ist am Ende der Dumme. Online-Banking per Smartphone ist jedenfalls unter diesen Gesichtspunkten keine gute Empfehlung.