Die Malware-Experten von Trend Micro haben einen Android-Schädling ausgemacht, der es auf hiesige Kunden von PayPal und verschiedenen Banken abgesehen hat. Die zum Verteilen der Malware versandten, vermeintlich von PayPal stammenden Spam-E-Mails sind in auf Deutsch verfasst und sprachlich recht ordentlich, so dass sie nicht sofort als Müll erkannt werden.
Der Link in den E-Mails führt dann zum Download der Android-Schadsoftware. Er zeigt nicht in den Google Play Store, wie Trend Micro betont. Nutzer müssen also den Download aus unbekannten Quellen erlauben, damit sie die Schadsoftware auf ihr Gerät laden können. Dort gibt sich die Malware als vermeintliche PayPal-App aus, wobei die Forscher unter den knapp 200 Varianten des Schädlings auch andere vermeintliche Anwendungen ausgemacht haben wie Flash Player, Spiele oder Porno-Apps.
Während der Installation fragt die Malware nach Admin-Rechten. Gewährt der Anwender diese, versteckt sich die App und erschwert damit das Entfernen erheblich. Aber auch ohne diese Rechte verschwindet die Malware nach der Installation aus der App-Übersicht. Einmal installiert, kann sie eine Maske über die auf dem Gerät installierte legitime PayPal-App legen und so Passwörter abgreifen. In den Konfigurationsdateien des Schädlings fanden die Forscher Hinweise auf weitere Finanzinstitute wie die Commerzbank; der Verdacht liegt also nahe, dass der Schädling auch die Android-Anwendungen dieser Institute manipulieren will. Ob dies gelingt, schreibt Trend Micro nicht.
Darüber hinaus kann der Marchcaban.HBT getaufte Schädling eingehende E-Mails und SMS abfangen. Letzteres ist eine gängige Methode von Banking-Trojanern, die auf diesem Weg an die zum Freischalten von Transaktionen von Banken verschickten SMS-TANs gelangen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Android-Malware hat deutsche Commerzbank- und PayPal-Kunden im Visier