Unsere Kooperationspartner von Kaspersky Lab haben eine neue Variante des mobilen Bankingtrojaners Svpeng entdeckt [1].

Mittels Keyloggerfunktion greift der modifizierte Trojaner eingegebenen Text wie Bankingzugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

Der Trojaner wird über gefährliche Webseiten, als Flash-Player-App getarnt, verbreitet und erfragt die Erlaubnis zur Nutzung der Zugangsdienste.

Dadurch erhält er Zugang zur Benutzeroberfläche anderer Apps und kann so bei Tastendruck Screenshots erstellen und Daten wie Banking-Zugangsdaten mitprotokollieren. Darüber hinaus kann er sich selbst Administratorenrechte für das Gerät verschaffen und andere Apps überdecken, was dem Trojaner dabei hilft. das Unterbinden der Screenshot-Erstellung durch einige Apps zu umgehen. Die Experten von Kaspersky Lab haben URLs ausgemacht, die es auf die Apps führender europäischer Banken abgesehen haben.

Der modifizierte Svpeng-Trojaner kann sich als Standard-SMS-App installieren und so SMS versenden und empfangen, Anrufe tätigen und Kontakte auslesen. Außerdem ist der Schädling in der Lage, sämtliche Versuche, die Geräte-Administrationsrechte zu entfernen, zu blockieren und so die eigene Deinstallation zu verhindern. Die gefährlichen Techniken des Trojaners funktionieren selbst auf Geräten, die das neuste Android-Betriebssystem und alle Sicherheitsupdates installiert haben.

Bisher sind die Angriffszahlen gering, da der Trojaner noch nicht weit verbreitet ist. Die meisten Angriffe stammen aus Russland (29 Prozent), Deutschland (27 Prozent), Türkei (15 Prozent), Polen (6 Prozent) und Frankreich (3 Prozent).

„Die Keylogger-Funktion und der Missbrauch der Zugangsdienste sind eine neue Entwicklung im Bereich mobiler Banking-Malware; es überrascht uns nicht, dass Svpeng diese Entwicklungen anführt“, so Roman Unuchek, Senior Malware Analyst bei Kaspersky Lab. „Die Svpeng-Malware-Familie ist bekannt für Innovation und macht sie damit zu einer der gefährlichsten Familien überhaupt. Sie war eine der ersten mit Angriffe auf SMS-Banking, die Phishing-Webseiten verwendet hat, um Apps zu überlagern und so Zugangsdaten abzugreifen, um dann die Geräte zu blocken und Geld zu verlangen. Daher ist es so wichtig, jede neue Version dieser Schädlingsfamilie zu überwachen und zu analysieren.“

Kaspersky-Tipps zum Schutz vor Svpeng

  • Installation einer robusten Sicherheitslösung wie Kaspersky Internet Security for Android [2].
  • Vor dem Download einer App überprüfen, ob diese von einem seriösen Entwickler stammt.
  • Keine Apps downloaden, die verdächtig aussehen oder deren Quelle nicht verifiziert ist.
  • Bei der Vergabe von zusätzlichen Rechten an Apps achtsam sein.

Alle Lösungen von Kaspersky Lab erkennen den Trojaner als Trojan-Banker.AndroidOS.Svpeng.ae.

Anmeldung zum Mimikama-Newsletter

Unsere virtuelle Faktencheck-Bewertungsskala: Bei der Überprüfung von Fakten, in der Kategorie der „Faktenchecks„, nutzen wir eine klare Bewertungsskala, um die Zuverlässigkeit der Informationen zu klassifizieren. Hier eine kurze Erläuterung unserer Kategorien:

  • Rot (Falsch/Irreführend): Markiert Informationen, die definitiv falsch oder irreführend sind.
  • Gelb (Vorsicht/Unbewiesen/Fehlender Kontext/Satire): Für Inhalte, deren Wahrheitsgehalt unklar ist, die mehr Kontext benötigen oder satirisch sind.
  • Grün (Wahr): Zeigt an, dass Informationen sorgfältig geprüft und als wahr bestätigt wurden.

Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama

Mehr von Mimikama

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)