Eine neuartige, Bankdaten und andere private Daten stehlende Android-Malware, welche sich als Update für den Browser Chrome tarnt, macht sich zurzeit bemerkbar.  Sie wird nicht von einer Falsche Google-Play-Kreditkartenabfrage (Bild: Zscaler)einheitlichen, sondern einer ganzen Reihe unterschiedlicher URLs gehostet, die mit Namensbestandteilen wie „android-update“ oder zumindest „goog“ offiziell wirken sollen. Jede ist nur kurze Zeit aktiv und wird dann gewechselt, um eine URL-basierte Erkennung zu verhindern.

Es wird versucht, Anwendern das Paket mit dem Namen „Update_chrome.apk“ unterzujubeln, indem sie sie vor einem nicht existierenden Virenbefall warnen. Einmal installiert, verschafft sich die Malware Administratorrechte und schickt Bankdaten ebenso wie SMS, Anruflisten und die Browserhistorie an einen Kommandoserver.

Die Malware überprüft nach der Installation auch, ob Sicherheitsanwendungen installiert sind und deaktiviert sie nach Möglichkeit. Darunter sind nach aktuellem Stand etwa Android-Sicherheitslösungen von Avast, Dr. Web, Eset und Kaspersky.

Anruflisten, SMS und Browserhistorie gehen direkt an einen Kommandoserver; künftige weitere Kommunikation wird überwacht und Gespräche mit unbekannten Anrufern in manchen Fällen sogar beendet. Um an die Bankdaten zu kommen, blendet das Programm einen laut Zscaler echt aussehenden Bezahl-Bildschirm für Google Play ein. Diese Daten werden nicht numerisch, sondern in Form eines Screenshots an eine russische Telefonnummer gesandt.

Eine Deinstallation verhindert das Schadprogramm, indem es dem Nutzer die Berechtigung dafür entzieht. Die einzige reguläre Deinstallationsmöglichkeit ist es, das Gerät auf die Fabrikeinstellungen zurückzusetzen – was freilich auch alle anderen Daten im Speicher löscht.

Wir empfehlen dringend auch auf Android Geräten einen Virenschutz wie Sophos Endpoint.

(Quelle: http://www.zdnet.de)