Support: +49 (0)209 38642-22        Supportfall melden

Banking Trojaner Vultur

Regelmäßig erscheinen neue Berichte über Schad-Software, die über die App-Stores heruntergeladen wurden. Dabei werden sie in den meisten Fällen als scheinbar seriöse Anwendungen getarnt. Die Methoden, wie sich Angreifer Zugang zu Geräten, darauf gespeicherten Informationen, Passwörtern und anderen sensiblen Daten verschaffen, werden immer ausgefeilter und schwieriger zu erkennen.

Mit Vultur haben die Forscher des niederländischen Sicherheitsunternehmens ThreatFabric eine neue Generation an Trojanern für das Smartphone entdeckt. Üblicherweise kommt bei Trojanern eine gefälschte Website bzw. App-Oberfläche zum Einsatz, die der Oberfläche der eigentlich angesteuerten Adresse täuschend ähnlich sieht und über sie gelegt wird. Gibt der Besucher dann seine Zugangsdaten ein, trägt er sie in Wirklichkeit in die gefälschte Maske ein und überlässt sie so den Angreifern. Der neue Android-Trojaner Vultur dient in erster Linie ebenso dem Ausspionieren von Online-Banking Zugängen und Wallets bei Krypto-Börsen, in denen man seine Kryptowährungen wie in einer digitalen Geldbörse aufbewahrt. Dank der Methode, die genutzt wird, können jegliche Art von Daten abgefangen werden.

Vultur nutzt nämlich eine Kombination aus Bildschirmaufnahme und Keylogger, um alle notwendigen Informationen zu erhalten. Beim Starten bestimmter Anwendungen wie zum Beispiel der Online-Banking App erkennt die Schadsoftware die Aktivität und startet die Bildschirmaufzeichnung. Ebenso wird der Keylogger, also eine Funktion, mit der sich alle Tastatureingaben aufzeichnen lassen, aktiviert. Diese Art der Überwachung hat die IT-Forscher, die den Trojaner zuerst entdeckt hatten, auch bei dem Namen Vultur, einer abgewandelten Form von Vulture, dem englischen Wort für Geier, inspiriert. Er kreist metaphorisch über dem Nutzer und beobachtet jede Bewegung.

Dazu handelt es sich bei Vultur um einen sogenannten Remote Access Trojan (RAT). Diese Art von Schadsoftware ermöglicht die Steuerung aus der Ferne, wobei sie sich in diesem Fall der Funktion Virtual Network Computing (VNC) bedient, die auf Smartphones zur Ferndiagnose und Wartung vorgesehen ist. Mit ihr wird die Aufzeichnung und Übermittlung von Bildschirminhalten realisiert.

Im Google Play Store war die App bis zu ihrer Entfernung und der Sperrung der Entwickler unter dem seriös klingenden Namen Protection Guard zu finden. Tausende Nutzer hatten sie bis dahin bereits heruntergeladen, wobei die IT-Forscher davon ausgehen, dass alle betroffenen Geräte infiziert wurden. Wer nun glaubt, die Schadsoftware einfach deinstallieren zu können, hat nicht mit dem Einfallsreichtum der Entwickler gerechnet. Voltur bringt nämlich seinen eigenen Schutz vor Deinstallation mit. Versucht der Nutzer über das Anwendungs-Menü zu den Details und damit zur Deinstallations-Schaltfläche zu gelangen, klickt ein Bot auf den Zurück-Button und verhindert so seine eigene Entfernung von dem Gerät.

Da es bis jetzt noch keine Gegenmaßnahmen gibt, wird empfohlen, auf einem betroffenen Gerät keine Apps mehr zu öffnen, deren Inhalte für Angreifer interessante Informationen darstellen.