?>
Xenomorph klaut Bankdaten
Author
Maren Keller, Mo, 28. Feb. 2022
in Android

Xenomorph klaut Bankdaten

Neuer Banking-Trojaner im Google Play Store

Aktualisiert am 15.03.2023

Wieder einmal versucht ein fieser Banking-Trojaner, Ihre Bankdaten zu stehlen. Die Hintermänner wollen an Ihr Geld! Xenomorph heißt die Malware, die sich im Google Play Store versteckt und beim Download von Apps auf Ihr Smartphone gelangt. 

Wie Sie sich schützen können und was zu tun ist, wenn Ihr Handy bereits befallen ist, erfahren Sie hier.

Xenomorph breitet sich aus

Sicherheitsforscher von ThreatFabric warnen aktuell eindringlich vor einem neuen Banking-Trojaner. Er heißt Xenomorph und versteckt sich im Google Play Store. Von dort gelangt er über App-Downloads auf die Smartphones seiner Opfer und hat dort nur ein Ziel: Den Diebstahl von Bankdaten.

Wie ein Trojaner genau funktioniert, erfahren Sie in unserem Ratgeber Erpressertrojaner und Verschlüsselungssoftware. Wenn Sie noch keinen Antivirenschutz auf Ihrem Smartphone haben, dann wenden Sie sich unbedingt an Ihren PC-SPEZIALIST in Ihrer Nähe und lassen Sie sich entsprechend beraten. Natürlich gilt das nicht nur für privat genutzte Handys, sondern auch für Diensthandys.

Bislang ist der Trojaner nur in der App Fast Cleaner gefunden worden. Sie verspricht, die Performance von Smartphones zu verbessern. Das tut sie, indem sie Datenmüll entfernt. Tatsächlich wird die Malware nachgeladen, wenn die App installiert ist.

Xenomorph: Nicht erkennbarer Hacker mit Handy und Laptop. Bild: Pexels/Sora Shimazaki

Vorsicht! Eine neue Malware breitet sich aus und stiehlt Ihre Passwörter. Bild: Pexels/Sora Shimazaki

Wie geht Xenomorph auf dem Handy vor?

Die neu entdeckte Malware nutzt die klassischen Wege, um Ihnen Schaden zuzufügen und die gewünschten Daten zu ergaunern. So müssen Sie bei der Installation der App Berechtigungen erteilen, um die App nutzen zu können. Haben Sie notwendigen Berechtigungen gegeben, unter anderem für die Bedienhilfen, kann der Trojaner die Kontrolle über Ihr Smartphone erlangen.

Was tut die Xenomorph dann? Der Banking-Trojaner kann beispielsweise Benachrichtigungen abfangen oder SMS lesen. Und somit hat die Malware auch Zugriff auf temporäre Passwörter für die Zwei-Faktor-Authentifizierung.

Diese temporären Passwörter sind sechsstellige Codes, die Sie immer dann bekommen, wenn Sie sich in sensiblen Bereichen einloggen und den Login mit der 2FA abgesichert haben. Beispielsweise beim Online-Banking, beim Online-Shopping oder eventuell auch, wenn Sie Ihr E-Mail-Passwort ändern möchten.

Banking-Apps im Visier der Malware

Außerdem setzt der Trojaner Overlays ein und kann damit Daten aus Apps sammeln, die auf Ihrem Handy sind. Auch hier liegt das besondere Interesse an den Zugangsdaten zu Banking-Apps. Die Schadsoftware untersucht dabei installierte Apps und lädt danach Dateien in der Optik der installierten Apps herunter. Diese Dateien blendet Xenomorph ein, wenn Sie Ihre Banking-App starten. Geben Sie Bankzugangsdaten und Passwörter ein, gelangen sie direkt in die Hände der Kriminellen.

Auch wenn bislang vor allem Kreditinstitute in Spanien, Italien, Belgien und Portugal das Ziel der Malware sind, ist nicht ausgeschlossen, dass sie sich weiter verbreitet und über kurz oder lang auch deutsche Geldinstitute ins Visier geraten. Denn: Die Sicherheitsforscher haben herausgefunden, dass noch nicht alle im Quellcode angelegten Funktionen aktiv sind. Daraus schließen sie, dass sich sowohl die Funktion als auch das Angriffsgebiet ausweitet.

Xenomorph: Person mit EC-Karte am Laptop, Handy liegt daneben. Bild: Pexels/Anna Shvets

Achten Sie stets gut auf Ihre Login-Daten, vor allem auf die für Ihr Online-Banking. Sonst droht Gefahr durch Xenomorph. Bild: Pexels/Anna Shvets

Wie schützen Sie sich vor Xenomorph?

Bleibt die wichtige Frage, wie Sie sich vor dem Angriff mit dem Banking-Trojaner schützen können. Der erste und wichtigste Schutz ist, dass Sie die App Fast Cleaner, in der sich Xenomorph versteckt, nicht auf Ihrem Handy installieren. Wenn Sie die App allerdings bereits auf Ihrem Smartphone installiert haben, dann sollten Sie sie schleunigst deinstallieren. Außerdem sollten Sie Ihr Smartphone auf Werkseinstellungen zurücksetzen, um alle Überreste der Malware zu entfernen.

Idealerweise haben Sie regelmäßig ein Backup angelegt, sodass Sie keinen Datenverlust erleiden. Hierfür steht Ihnen gegebenenfalls unser Service der Datenrettung zur Verfügung. Nehmen Sie gern Kontakt zu uns auf und lassen Sie sich zu den Möglichkeiten beraten.

Wichtig ist auch, dass Sie Ihre Passwörter ändern und Ihre Kontobewegungen im Blick behalten. Finden unerwünschte Abbuchungen statt, informieren Sie Ihre Bank. Grundsätzlich sollten Sie beim Download von Apps vorsichtig sein, sämtliche Bewertungen durchlesen und überlegen, ob die gewünschten Berechtigungen wirklich notwendig sind. Im Zweifelsfall suchen Sie sich lieber eine andere App aus. Vermeiden Sie grundsätzlich alternative App Stores.

Update, 15.03.2023: Xenomorph v3 noch gefährlicher!

Der fiese Banking-Trojaner ist mittlerweile in der dritten Version unterwegs – und noch gefährlicher geworden. Xenomorph v3 stehle Daten und Kontostände automatisch und tätige selbständig Überweisungen. Der Trojaner soll den gesamten Ablauf von der Infizierung des Geräts bis zur Überweisung von Geld ohne aktiven Einfluss seitens der Angreifer durchführen können. Selbst eine etwaig vorhandene Multi-Faktor-Authentifizierung soll die Malware automatisch umgehen können.

Und nicht nur, dass sich die Gefahr durch die intelligenter werdende Malware erhöht, auch der Angriffsradius habe sich vergrößert. Weltweit seien mittlerweile etwa 400 Bankinstitute ins Visier der Malware geraten. Darunter befinden sich auch 18 Banken in Deutschland, unter anderem die ING-DiBa, Deutsche Bank und Citibank.

Hinter welchen Apps sich der Trojaner versteckt, ist nach wie vor nicht bekannt. Offenbar wird Xenomorph aber mit echten Apps verknüpft, die tatsächlich ihre beworbenen Funktionen ausführen. Die Malware werde laut Forschern über ein Update heruntergeladen.

_______________________________________________

Verwendete Quellen: ThreatFabric, Connect, Connect

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare