Android-Trojaner greift via Akku-App an

Wie jetzt Sicherheitsforscher bei Eset herausfanden, ist ein Trojaner im Umlauf, der insbesondere Nutzer von Android-Smartphones im Visier hat. Über eine Schnittstelle des mobilen Betriebssystems hat die Malware einen Schlupfwinkel gefunden, sich in das Online-Bezahlsystem von Paypal zu hacken – getarnt als Akku-App, die aktuell von einigen Drittanbietern im App-Store angeboten wird. Google hat aufgrund der hohen Gefahrenlage mittlerweile alle Apps aus dem Play Store verbannt, die eine verdächtige Schnittstelle der gleichen Art nutzen.

Phishing Hacker tarnen sich als Akku-Optimierungs-App

Wer die vermeintliche Akku-Optimierungs-App installiert, erlebt ein böses Erwachen. Nach der Installation verschwindet das App-Icon direkt wieder vom Display. Es erscheint ein Fenster, in dem die Anwender um Erlaubnis zur Erhebung statistischer Daten gebeten werden. Dadurch wird – von den Nutzern unbemerkt – die sogenannte Accessibility-Services-Schnittstelle aktiviert, eine bei Android-Geräten installierte Funktion, die normalerweise körperlich eingeschränkten Personen die Nutzung des Android-Gerätes erleichtern soll. In diesem Fall hat diese aber eine andere Funktion.

Wie greifen die Hacker auf die Paypal-Konten zu?

Via Push-Meldung inklusive Paypal-Logo werden User nun gebeten, ihr Konto zu bestätigen – scheinbar legitimiert durch den Online-Bezahlservice. Dass Paypal nicht der Absender ist, erkennt nur, wer genau hinsieht. Öffnet man allerdings die offizielle Paypal-App über die gefälschte Schnittstelle und meldet sich mit seinen Daten an, haben die Hacker es geschafft. Der Trojaner übernimmt die Kontrolle über das Konto und leitet innerhalb weniger Sekunden eine Transaktion ein: „Geld an Freunde”. Jetzt hilft nur noch, die App möglichst schnell zu schließen. Glück im Unglück hat nur, wer gerade kein Paypal-Guthaben aufweisen kann oder die Kreditkarte aktuell nicht hinterlegt hat. In dem Fall gehen die Betrüger aufgrund mangelnder Kontodeckung leer aus.

Zwei-Faktor-Authentifizierung bietet bei Paypal keinen ausreichenden Schutz

Wer meint, er sei durch seine zweistufige Authentifizierung geschützt, irrt. Paypal verwendet die Zwei-Faktor-Authentifizierung in der App lediglich, um die Anmeldung der User sicherzustellen. Für Transaktionen an sich ist sie unerheblich. Das heißt: Der Trojaner kann nach der Anmeldung jede beliebige Transaktion durchführen. Ein zweiter Code ist nicht erforderlich.

Trojaner auf Datenraubzug bei Banking-Apps, WhatsApp und Google Play

Paypal ist allerdings nicht das einzige Ziel des Trojaners. Auch andere Bankdaten wie Kreditkarteninformationen werden bei dem Phishing-Angriff ganz nebenbei ausgelesen. Via Overlay-Screens für WhatsApp, Google Play oder der Banking-Apps erscheinen weitere Pop-up-Fenster, in denen Anwender ihre Kreditkarten- oder Log-in-Daten eingeben sollen. Das Perfide daran: Diese erscheinen direkt im Sperrbildschirm und lassen sich nur schließen, wenn man sie mit Zahlen gefüttert hat. Einziges Entrinnen ist hier durch die Eingabe falscher Daten möglich.

Die Sicherheitsexperten bei Eset gehen davon aus, dass die Hacker gleichzeitig weitere Daten abfangen – beispielsweise die entsprechenden Mails, die User normalerweise bei Transaktionen dieser Art bekommen würden. Außerdem sind weitere Datenangriffe möglich, etwa das Auslesen der Kontakte, Anrufe und SMS sowie die Installation weiterer Apps.

Paypal Phishing: Was tun?

Wer sich dem Risiko eines Phishing-Angriffs wie diesem nicht schutzlos ausliefern möchte, kann mittlerweile bei einer Vielzahl von Anbietern spezielle Cyberversicherungen abschließen. Der Inter CyberGuard übernimmt beispielsweise finanzielle Schäden bis zu 10.000 Euro im Basis- und bis 15.000 Euro im Exklusiv- oder Premiumtarif, wenn persönliche Daten in Folge von Datendiebstahl für Straftaten missbraucht werden. Der Versicherungsschutz greift bei Datendiebstahl von privaten Online-Konten und gilt gleichermaßen für Kaufportale wie Ebay und Amazon, Käufe über Google Play, iTunes und Gaming-Plattformen wie Sony Playstation.

Die Nutzung von Online-Bezahlsystemen wie beispielsweise Paypal schließt außerdem der Ergo-Cyberschutz mit ein. Reguliert werden hier Schäden durch die missbräuchliche Nutzung von Online-Bezahldaten bis zu einer Schadenshöhe von 15.000 Euro pro Jahr. Das entsprechende Versicherungspaket von Cosmos Direkt greift bei Vermögensschäden bis zu 10.000 Euro, die unter anderem durch missbräuchliches Online-Banking und Online-Shopping entstanden sind.

Offizielle App-Stores sind sicherer

Wer nicht Gefahr laufen möchte, in die Fänge dubioser Cyberkrimineller zu geraten, sollte seine Apps ausschließlich über den offiziellen Play Store von Google beziehen. Auch dieser bietet aber keine garantierte Sicherheit. Bei Apps unbekannter und nicht vertrauenswürdiger Quellen ist das Risiko eines Hackerangriffs aber um einiges höher. Übrigens: Wie Computerbild bestätigt, haben insbesondere Optimierungs-Apps nicht den versprochenen Einfluss auf die Akku-Leistung des Smartphones. Viel häufiger sorgen diese Anwendungen für Negativ-Schlagzeilen.