Sicherheitsforscher von Zscaler haben die neueste Variante einer bereits seit 2020 bekannten Android-Malware namens Anatsa (auch bekannt als Teabot) untersucht und dabei festgestellt, dass diese neuerdings auch deutsche Nutzer ins Visier nimmt. Der Banking-Trojaner zielt unter anderem darauf ab, Tastatureingaben mitzuschneiden, Anmeldedaten abzugreifen und betrügerische Finanztransaktionen einzuleiten.
Schon früher nahm Anatsa Nutzer der Apps von mehr als 650 Banken und Finanzdienstleistern aus Europa und den USA ins Visier. Laut einem Blogbeitrag von Zscaler
(öffnet im neuen Fenster) sind aber im Rahmen der Erweiterung des anvisierten Nutzerkreises zuletzt nochmal über 150 neue Banking- und Krypto-Apps hinzugekommen, sodass die Zahl dieser Anwendungen nun bei 831 liegt.
Verbreitet wurde Anatsa bis zuletzt über scheinbar harmlose Apps verschiedener Kategorien aus dem Google Play Store - also dem offiziellen App-Store von Google, der eigentlich als sicherste Quelle für den Bezug neuer Android-Apps gilt. Die Forscher fanden dort insgesamt 77 Anwendungen mit zusammen mehr als 19 Millionen Downloads, über die neben Anatsa auch andere Malware auf die Android-Geräte der Nutzer gelangte.
Schadcode kommt per Update
Laut Zscaler dienten die Apps aus dem Play Store als sogenannte Dropper. Die Apps selbst waren also unmittelbar nach der Installation zunächst weitgehend harmlos, luden jedoch im Anschluss von einem Server der Angreifer als App-Update getarnten Schadcode nach - ein schon seit Jahren gängiger Angriffsvektor unter Android. Auf diesem Wege wird die eigentliche Malware jeweils an Googles Erkennungssystemen vorbeigeschleust.
Obendrein weiß sich Anatsa zu verstecken. "Um einer Erkennung auf infizierten Systemen zu entgehen, werden der Name des Anwendungspakets und der Installations-Hash regelmäßig geändert", schreiben die Forscher. Und dies ist nur eine von mehreren Verschleierungstechniken, auf die die Forscher bei ihrer Analyse stießen.
Anmeldedaten greift Anatsa den Angaben zufolge primär dadurch ab, dass Anwendern gefälschte Log-in-Portale eingeblendet werden, die auf die Finanz-Apps zugeschnitten sind, die auf dem jeweiligen Endgerät installiert sind. Betroffene gehen also davon aus, dass sie sich bei ihrer Banking- oder Krypto-App anmelden, tatsächlich übergeben sie die eingegebenen Zugangsdaten aber dem Trojaner, der sie anschließend an die Angreifer übermittelt.
Alle Malware-Apps entfernt
Zscaler hat nach eigenen Angaben alle 77 entdeckten Malware-Apps an Google gemeldet. Ein Google-Sprecher bestätigte Securityweek
(öffnet im neuen Fenster), alle gemeldeten Anwendungen seien bereits aus dem Play Store entfernt worden. Android-Nutzer seien zudem durch das standardmäßig aktive Sicherheitsfeature Google Play Protect(öffnet im neuen Fenster) vor bekannten Versionen dieser Malware geschützt.
Die Forscher von Zscaler empfehlen zudem, stets auf die von Apps angeforderten Berechtigungen zu schauen und zu prüfen, ob diese zur angepriesenen Funktionalität der jeweiligen Anwendung passen. Weitere Anhaltspunkte für verdächtige Apps können beispielsweise unbekannte Entwicklernamen oder Details aus negativen Nutzerbewertungen im Play Store liefern.
