Kaspersky warnt vor Android-Trojaner Acecard

Kaspersky Lab hat einen Android-Trojaner entdeckt und näher untersucht, der sich gegen Apps für Online-Banking und Online-Bezahlen richtet. Den Sicherheitsexperten zufolge sind davon fast 50 Android-Apps und auch Bankkunden in Deutschland sowie Österreich betroffen. Als Macher des als Acecard bezeichneten Trojaners sehen sie erfahrene und vermutlich russischsprachige Cyberkriminelle.

Acecard legt Phishing-Fenster über Google Play (Bild: Kaspersky)

Die Malware nimmt mit Phishing-Fenstern außerdem Messenger wie WhatsApp und Social Networks wie Facebook ins Visier. Mit seinen Fenstern kann der Trojaner die offizielle App des Google Play Store überdecken ebenso wie Gmail, Google Music oder Paypal. Zu den betroffenen Messengern gehören neben WhatsApp Viber und Skype, zu den Sozialen Netzen außerdem Twitter und Instagram.

Zum Anwender kommt Acecard per Download und tarnt sich dabei als eine andere App, etwa als Flash Player oder Anwendung für Pornovideos. Ende Dezember wurde die Version Trojan-Downloader.AndroidOS.Acecard.b im offiziellen Angebot bei Google Play unter dem Deckmantel eines Spiels gefunden. Als Trojaner war die Malware nach dem Download nicht mehr erkennbar, da versteckt hinter dem vertrauten Symbol des Adobe Flash Player. Kaspersky mahnt daher erneut, keine zweifelhaften Apps von Google Play oder anderen Quellen herunterzuladen sowie verdächtige Webseiten und Links zu meiden.

„Die für Acecard verantwortlichen Cyberkriminellen verbreiten ihren Banktrojaner unter dem Deckmantel anderer Applikationen, über offizielle App-Stores und im Schlepptau weiterer Trojaner“, so Roman Unuchek, Senior Malware Analyst bei Kaspersky Lab. „Darüber hinaus kann die Schadsoftware viele und bekannte offizielle Apps überlagern. Diese Kombination macht aus der mobilen Malware Acecard eine der größten Gefahren, die wir derzeit kennen.“

Acecard fiel im dritten Quartal 2015 in Australien durch eine starke Zunahme von Angriffen auf Mobile-Banking-Apps auf. Weitere Schwerpunkte des Trojaners waren Russland, Deutschland, Österreich und Frankreich. Erstmals erkannt wurde die Malware 2014. Inzwischen berichtet Kaspersky von über zehn Varianten, die sich für immer noch wirksamere Angriffe eigneten.

Im Blog Securelist führt Kaspersky-Analyst Unuchek die Vorgeschichte des Trojaners als „Evolution von Acecard“ aus. Demnach begann alles mit dem Schädling Backdoor.AndroidOS.Torec.a. Eine seiner Modifikationen nutzte als erster Android-Trojaner das Anonymisierungsnetzwerk Tor für sich, um den Standort eines Command-and-Control-Servers zu verbergen, der Daten über das Mobiltelefon, wie etwa dessen IMEI, sammelte. Auf Android-Geräten konnte die Malware schließlich eintreffende und versendete Nachrichten abfangen und verstecken oder auch die Kommunikation sperren sowie Code ausführen.

Die Autoren dieser Malware steckten offenbar auch hinter der ersten mobilen Ransomware Trojan-Ransom.AndroidOS.Pletor.a. Dieser Trojaner verschlüsselte die auf dem Gerät gespeicherten Dateien und verlangte Lösegeld für ihre Dechiffrierung. Nähere Untersuchung und Code-Vergleich weisen darauf hin, dass diese Vorläufer von denselben Cyberkriminellen geschaffen wurden wie der jetzt aktive Banking-Trojaner. Klassen-Namen, Methoden und Variablen der drei Trojaner zeigten sich großteils identisch. Der für die entsprechenden Methoden eingesetzte Code stimmte völlig überein oder wies nur geringe Veränderungen auf.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de