Banking-Trojaner

Modifizierter Banking-Trojaner verschlüsselt Daten

Die Cybersicherheitsexperten von Kaspersky haben eine Modifikation des mobilen Banking-Trojaners Faketoken identifiziert. Dieser verschlüsselt statt zu blockieren.
Von Paul Miot-Paschke

Die Modifikation des mobilen Banking-Trojaners Faketoken soll verschlüsselt statt zu blockieren. (Symbolfoto) Die Modifikation des mobilen Banking-Trojaners Faketoken soll verschlüsselt statt zu blockieren. (Symbolfoto)
Foto: dpa Kaspersky Lab zufolge haben Cybersicherheitsexperten des Unternehmens eine neue Modifikation des mobilen Banking-Trojaners Faketoken identifiziert. Der Schädling verschlüssele Nutzerdaten und verstecke sich hinter zahlreichen Spielen und Programmen, wie etwa Adobe Flash Player. Es sei dem Trojaner möglich, die Zugangsdaten von mehr als 2000 Android-Finanz-Apps abzugreifen. Betroffen seien 16 000 Opfer aus 27 Ländern.

Verschlüsselungsfunktion ist unüblich

Die Modifikation des mobilen Banking-Trojaners Faketoken soll verschlüsselt statt zu blockieren. (Symbolfoto) Die Modifikation des mobilen Banking-Trojaners Faketoken soll verschlüsselt statt zu blockieren. (Symbolfoto)
Foto: dpa Kaspersky zufolge ist die, bei Faketoken hinzugefügte Verschlüsselungsfunktion unüblich, weil es mobile Ransomware normalerweise eher auf das Blockieren des Geräts als auf die Verschlüsselung von darauf befindlichen Daten (die von Nutzern oft in der Cloud gesichert würden) abgesehen habe. Faketoken würde Daten wie Dokumente, Videos oder Fotos mit dem symmetrischen Verschlüsselungsalgorithmus AES verschlüsseln, den Nutzer in gewissen Fällen entschlüsseln könnten, ohne das Lösegeld bezahlen zu müssen.

Wie geht Faketoken vor?

Bei der Erstinfekton fordere der Trojaner Administrator-, Overlay-Rechte für andere Apps oder die Berechtigung als Standard-SMS-App ein, oftmals ohne dem Anwender eine Wahlmöglichkeit zu lassen. Mit den erzwungenen Rechten habe Faketoken dann Zugriff auf Kontaktdaten und Dateien der Nutzer. Weiter Daten würden über Phishing gestohlen.

Nach der Installation hole sich Faketoken von seinem Command-and-Control-Server eine Datenbank mit Textbausteinen in 77 Sprachen. Damit würden auf das jeweilige Operationsgebiet sprachlich angepasste Phishing-Nachrichten generiert, mit denen die Gmail-Zugangsdaten der Opfer ausgespäht würden. Kreditkartendaten erhält der Trojaner Kaspersky zufolge über ein Overlay des Google Play Stores und einer passend dazu gefälschten Webseite. Kaspersky Lab zufolge haben Cybersicherheitsexperten des Unternehmens 2249 einzelne Finanz-Apps identifiziert, für die Faketoken gefälschte Webseiten generieren kann. Die Frage, warum die Malware darüber hinaus Shortcuts für Soziale Netzwerke, Messenger und Browser mit eigenen Anwendungen zu ersetzen versucht, sei noch unklar.

Kaspersky empfiehlt Android-Anwendern unter anderem, für regelmäßige Backups der Daten auf dem Gerät zu sorgen und bei Rechtevergaben genau zu prüfen, ob Apps diese auch wirklich benötigen.

Mehr zum Thema Trojaner