Banking-Trojaner Vultur
Author
Theresa Twillemeier, Di, 10. Aug. 2021
in Android

Banking-Trojaner Vultur

Neuer Android-Trojaner im Play Store entdeckt

Der Banking-Trojaner Vultur sorgt gerade für Aufsehen, weil die Android-Malware eine völlig neue Methode nutzt, um an Daten von Smartphone-Nutzern zu kommen.

Welchen Weg Vultur geht, um an Ihre Login-Daten zu gelangen, erfahren Sie bei uns.

Methode von Vultur

Die Sicherheitsfirma ThreatFabric entdeckte einen bisher unbekannten Banking-Trojaner, den sie den Namen Vultur gaben. Dieser macht derzeit auf Android-Smartphones die Runde. Die Android-Malware wurde in Apps entdeckt, die über den Google Play Store erhältlich sind. Immer professioneller werdende Cyberkriminelle haben es insbesondere auf Online-Banking- und Krypto-Wallet-Daten sowie Messenger- und Social-Media-Apps abgesehen. Bisher sind vor allem Opfer in Australien, Spanien und Italien bekannt. Als Banken wurden unter anderem die ING, Santander, die italienische Tochter der Volksbank sowie Kryptobörsen wie Coinbase identifiziert.

Vultur bedient sich dabei bekannter Methoden zur Verbreitung, wählt beim Sammeln von sensiblen Daten aber eine neue. Die meisten bekannten Banking-Trojaner funktionieren mit sogenannten Overlays, bei denen Fenster über der tatsächlich genutzten Banking-App eingeblendet werden. Vultur hingegen nutzt Screen Recording und Keylogger. Sobald die Schadsoftware erkennt, dass interessante Apps geöffnet sind, zeichnet sie den Bildschirminhalt auf und protokolliert die Tastatureingaben mit.

Vultur. Ein Cyberkriminelle sitzt vor einem Handy und Laptop. Ein Code ist auf beiden Geräten sichtbar. Bild: Pexels

Seien Sie wachsam! Vultur sammelt Online-Banking-Daten. Bild: Pexels

Verbreitung von Vultur über Apps im Play Store

Somit ist Vultur ein Remote-Access-Trojaner, der Cyberkriminellen den Fernzugriff auf das Smartphone ermöglicht. Dafür installiert der Schädling ein eigentlich für Wartungsarbeiten gedachtes Ferndiagnosesystem (Virtual Network Computing, kurz VNC) auf dem Android-Smartphone. Der Banking-Trojaner selbst versteckt sich in der vermeintlichen Schutz-App „Protection Guard“, die im Google Play Store angeboten wird.

Zur Verbreitung verwendet Vultur eine bereits bekannte Schadsoftware namens Brunhilda. Dabei handelt es sich um einen Viren-Dropper, einen Virenverteiler, der den eigentlichen Schadcode aus dem Netz nachlädt oder verpackt. Dabei greift Brunhilda auf den Play Store zurück, um diverse Arten von Malware in einem sogenannten „Dropper-as-a-Service“-Vorgang (DaaS) zu verbreiten.

Ein großes Problem ist, dass sich Vulture selbst vor der Deinstallation schützt, indem er den Nutzer daran hindert, die App auf gängige Weise vom Smartphone zu entfernen. Sobald sich der Anwender in den Android-Einstellungen auf der Seite mit den Anwendungsdetails befindet, aktiviert die Malware den Zurück-Button. Folglich landet der Nutzer wieder bei der Übersicht für die Anpassungen und der Button zur Deinstallation kann nicht getätigt werden.

Malware entfernen

Mittlerweile ist die App nicht mehr Play Store zu finden. Jedoch installierten mindestens 5.000 Personen die App. Sollten auch Sie Opfer des Cyberangriffs geworden sein, rät das Magazin Connect Folgendes: Gehen Sie in den Einstellungen zum Menüpunkt „Sicherheit und Standort“ > „Apps zur Geräteverwaltung“. Entfernen Sie dort die Malware und deinstallieren sie anschließend wie gewohnt.

Damit Ihre sensiblen Daten optimal gegen Schadsoftware geschützt sind, lassen Sie sich am besten ein Antivirenprogramm installieren. Wenden Sie sich dafür vertrauensvoll an Ihren PC-SPEZIALIST vor Ort. Im Übrigen deutet der Fall Vultur darauf hin, dass ein Wandel im cyberkriminellen Umfeld stattfindet. So setzen Angreifer seit einiger Zeit vermehrt auf „Malware-as-a-Service“ (MaaS), die sie im Darknet anbieten.

_______________________________________________

Weiterführende Links: Stern, Connect, heise online, INGENIEUR.de

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.