Mobiler Banking-Trojaner Svpeng: Neue Version mit Keylogger-Funktion greift Bankkunden an

27 Prozent der Angriffe auf Nutzer in Deutschland

[datensicherheit.de, 31.07.2017] KASPERSKY lab hat nach eigenen Angaben eine neue Variante des mobilen Banking-Trojaners „Svpeng“ entdeckt. Mittels Keylogger-Funktion greift dieser modifizierte Trojaner demnach eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von „Android“ missbraucht werden. Dadurch erlange dieser weitere Rechte und könne so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützten nicht vor dem Schädling.

Missbrauch von Zugangsdiensten

Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen.
Die im Juli 2017 von KASPERSKY lab entdeckte modifizierte Version von „Svpeng“ sei nun in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

Sich selbst Administratorenrechte für das Gerät verschaffen

Dieser Trojaner werde über gefährliche Webseiten, als „Flash-Player“-App getarnt, verbreitet und erfrage die Erlaubnis zur Nutzung der Zugangsdienste. Dadurch erhalte er Zugang zur Benutzeroberfläche anderer Apps und könne so bei Tastendruck Screenshots erstellen und Daten wie Banking-Zugangsdaten mitprotokollieren.
Darüber hinaus könne er sich selbst Administratorenrechte für das Gerät verschaffen und andere Apps überdecken, was dem Trojaner dabei helfe, das Unterbinden der Screenshot-Erstellung durch einige Apps zu umgehen. Die Experten von KASPERSKY lab haben demnach URLs ausgemacht, die es auf die Apps führender europäischer Banken abgesehen hätten.

Trojaner kann eigene Deinstallation verhindern

Der modifizierte „Svpeng“-Trojaner könne sich als Standard-SMS-App installieren und so SMS-Nachrichten versenden und empfangen, Anrufe tätigen und Kontakte auslesen.
Außerdem sei der Schädling in der Lage, sämtliche Versuche, die Geräte-Administrationsrechte zu entfernen, zu blockieren und so die eigene Deinstallation zu verhindern. Die gefährlichen Techniken des Trojaners funktionierten selbst auf Geräten, die das neuste „Android“-Betriebssystem und alle Sicherheitsupdates installiert haben.

Deutschland bisher auf Platz 2

Bisher seien die Angriffszahlen gering, da der Trojaner noch nicht weit verbreitet sei. Die meisten Angriffe stammten aus Russland (29 Prozent), Deutschland (27 Prozent), der Türkei (15 Prozent), Polen (6 Prozent) und Frankreich (3 Prozent).
„Die Keylogger-Funktion und der Missbrauch der Zugangsdienste sind eine neue Entwicklung im Bereich mobiler Banking-Malware; es überrascht uns nicht, dass ,Svpeng‘ diese Entwicklungen anführt“, so Roman Unuchek, „Senior Malware Analyst“ bei KASPERSKY lab. Die „Svpeng“-Malware-Familie sei bekannt für Innovation und mache sie damit zu einer der gefährlichsten Familien überhaupt. Unuchek: „Sie war eine der ersten mit Angriffe auf SMS-Banking, die Phishing-Webseiten verwendet hat, um Apps zu überlagern und so Zugangsdaten abzugreifen, um dann die Geräte zu blocken und Geld zu verlangen. Daher ist es so wichtig, jede neue Version dieser Schädlingsfamilie zu überwachen und zu analysieren.“

KASPERSKY-Tipps zum Schutz vor „Svpeng“:

• Installation einer robusten Sicherheitslösung (als Beispiel wird „Kaspersky Internet Security for Android“ genannt).
• Vor dem Download einer App überprüfen, ob diese von einem seriösen Entwickler stammt.
• Keine Apps downloaden, die verdächtig aussehen oder deren Quelle nicht verifiziert ist.
• Bei der Vergabe von zusätzlichen Rechten an Apps achtsam sein.

Weitere Informationen zum Thema:

SECURELIST, 31.07.2017
A new era in mobile banking Trojans / Svpeng turns keylogger and steals everything through accessibility services

datensicherheit.de, 11.07.2017
MAC: Banking-Trojaner greift gezielt Schweizer Nutzer an