Banking Malware war eine der Top-Schadsoftwares, die im Jahr 2018 gegen Android-User eingesetzt wurde. Schier endlos verbreiteten Cyber-Kriminelle Banken-Trojaner und Fake Banking-Apps, experimentierten aber auch mit neuen Techniken, um Geld zu stehlen.

In einem neuen Whitepaper beleuchtet der ESET Malware-Forscher Lukáš Štefanko die beliebtesten Arten heutiger Android Banking Malware. Außerdem geht er näher auf die sich dahinter verbergende Technik ein und erläutert er die Verbreitungstaktiken der Cyber-Kriminellen in Bezug auf die Banking Malware.

Hier kann man das Whitepaper “Android banking malware: Sophisticated Trojans vs. Fake banking apps” in englischer Sprache herunterladen:

WeLiveSecurity setzte sich mit Lukáš zusammen, um ihn ein paar Fragen bezüglich seines neuen Whitepapers zu stellen.

Warum hast du dich verstärkt auf die Android Banking Malware konzentriert?

Ich beschäftige mich fast täglich mit schädlichen Apps, die es auf die Online-Banking Login-Informationen von Android-Usern abgesehen haben. Viele von ihnen bedienen sich unterschiedlicher Tricks, Techniken und Verbreitungsmethoden. Im Großen und Ganzen kann man die Android Banking Malwares in zwei Kategorien unterteilen – wie der Titel des Whitepapers bereits verrät. Der Unterschied ist dem normalen Android-User sicherlich nicht so bewusst, deshalb wollte ich das thematisieren.

Das Whitepaper handelt also von hochentwickelten Banken-Trojanern und Fake Banking Apps. Warum sollten auch normale Android-Anwender mit dem Unterschied vertraut sein?

Wenn die Android-User besser über die Unterschiede Bescheid wissen, stehen die Chancen für eine bessere Cyber-Sicherheit ziemlich gut. Die Malware-Programme der beiden Kategorien verfolgen zwar dasselbe Ziel – gemeint ist, das Stehlen von Banking-Login-Informationen und Geld. Allerdings realisieren sie das auf ganz verschiedene Weise. Das bedeutet aber auch, dass die Möglichkeiten zur Verhinderung von Cyberbedrohungen und Löschung von Schadprogrammen unterschiedlich funktionieren.

Bitte erkläre die verschiedenen Ansätze für jemanden, der neu in der Materie ist.

Banken-Trojaner sind unberechenbar. Sie tarnen sich als nützliches Tool für das Android-Gerät, das man unbedingt installiert haben muss. Dazu zählen beispielsweise Batterie-Manager, Power-Booster, Wetter-Apps, Videoplayer aber auch Spiele. Den Android-Besitzer lassen sie bis zum großen Finale im Dunklen über die wahren Absichten. Letztendlich geht es um das Erlangen von Geräteadministratorrechten. Damit besitzen die Banken-Trojaner die Möglichkeit, gefälschte Login-Screens über legitime Mobile Banking-Apps zu legen, um die Anmeldeinformationen zum Online-Bankkonto abzufangen (Form von Phishing). Den Opfern ist zunächst gar nicht bewusst, dass sie Opfer von Datendiebstahl geworden sind.
Fake Online-Banking Apps sind ein wenig simpler aufgebaut. Sie versuchen Android-User lediglich von der Legitimität der Software zu überzeugen. Wurde die Fake App installiert und gestartet, verlangt auch sie die Eingabe von Anmeldeinformationen zum Online-Bankkonto in einer täuschend echten Formularmaske. Hier erkennen die Opfer den Phishing-Angriff meist sofort, da sich die Fake Online-Banking Apps als mobile Banking Anwendungen offenbaren.

Wie hoch schätzt du die Wahrscheinlichkeit ein, dass Android-User auf Fake Banking Apps hereinfallen?

Ich schätze die Wahrscheinlichkeit geringer ein, als bei Banken-Trojanern. Allerdings sind manche Fake Apps den originalen sehr gut nachempfunden. Viel interessanter als die Frage nach der Anzahl der User, welche die Malware installiert haben, halte ich die Anzahl der tatsächlichen Opfer – die auf die Banking-Malware hereingefallen sind. Hier stehen die Chancen für die Fake Banking Apps leider gar nicht so schlecht. Das ist dem Umstand geschuldet, dass viele Android-Anwender den Fake Apps Vertrauen schenken und arglos ihre Anmeldeinformationen zum Online-Bankkonto eintippen.

Ist eine der Android Banking Malware-Kategorien als die gefährlichere anzusehen?

Vom technischen Gesichtspunkt her schon – Banken-Trojaner sind widerstandsfähiger und zunehmend hybridartig. Das heißt, die Fähigkeiten dieser Malware-Spezies reichen über das Phishing nach Anmeldeinformationen des Online-Bankkontos hinaus. Android Banken-Trojaner können beispielsweise auch Ransomware- oder Spionage-Funktionen mitbringen.
Sprechen wir aber über das reine Stehlen von Anmeldeinformationen eines Online-Bankkontos, ist meiner Meinung nach die Fake Banking App die gefährlichere Schadsoftware.

Was sind deiner Meinung nach die nützlichsten Tipps aus dem Whitepaper für die Leser von WeLiveSecurity?

Prinzipiell gibt es drei Punkte zu beachten, um Android Banking Malware am besten fernzubleiben:

  1. Inoffizielle Android App Stores links liegen lassen und keine Installationen aus „unbekannten Quellen“ zulassen.
  2. Immer auf das Bild der App im Google Play Store achten, sowie auf das Verhalten der App nach der Installation. Negative Kommentare und übertriebene eingeforderte Berechtigungen sind nicht zu vernachlässigende Warnsignale.
  3. Mobile Banking Apps sollten nur über den Link der offiziellen Webseite des Finanzinstituts heruntergeladen werden. Damit ist sichergestellt, dass man zur richtigen App im Google Play Store geleitet wird.

Diese Android-Sicherheitstipps gelten ganz allgemein bei der Suche nach benötigten Android-Anwendungen, um Android-Malware weitestgehend aus dem Weg zu gehen.