Wie die Smartphone Security-Spezialisten von Lookout berichten, war die als „Postbank-Trojaner“ bekannt gewordene App „ZertSecurity“ für einen Monat auf Google Play erhältlich. Glücklicherweise wurde die Schad-App nur rund 100 Mal heruntergeladen.
Indem die App direkt über Google Play installiert werden konnte, musste in den Android-Systemeinstellungen die Installation von Apps aus unbekannten Quellen nicht erst zugelassen werden. ZertSecurity wurde Lookout zufolge in einer kleinen, verhältnismäßig zielgerichteten Phishing-Kampagne verbreitet. Lookout hat die infizierten Geräte ausschließlich in Deutschland ausfindig gemacht.
Bis zum Entfernen der Malware aus Google Play wurden zum Glück weniger als 100 Downloads verzeichnet. Dazu kommen jedoch weitere Installationen außerhalb von Google Play, deren Anzahl nicht genau bestimmbar ist. Die Anzahl der Infektionen liegt damit unter dem Wert erfolgreicher Premium-SMS-Trojaner. Dafür ist der Schaden pro betroffenem Nutzer ungleich höher.
Per Kontonummer und PIN-Code voller Zugriff auf das Konto
Im Gegensatz zu den meisten anderen Banking-Trojanern wie beispielsweise ?Zeus? ist ZertSecurity selbständig und hat kein dazugehöriges Desktop-Pendant. Die Malware-App greift alle benötigten Informationen mit einem einfachen Formular selbst ab und fordert den Nutzer auf, seine Kontonummer und den dazugehörigen PIN-Code einzugeben, die für den Online-Banking-Login benötigt werden. Die Malware speichert diese Daten in ihrer Konfigurationsdatei und sendet eine Kopie an den Kommando-Server.
Während die Malware läuft, sendet sie auch die Inhalte aller eingehenden SMS an die C&C-Server und unterdrückt die Anzeige dieser SMS auf dem infizierten Gerät, indem sie einen SMS-Receiver mit sehr hoher Priorität registriert. Dadurch ist die Malware in der Lage, die SMS zu empfangen, bevor irgendeine andere Anwendung die Möglichkeit dazu hat. So kann die App auf das Online-Banking zugreifen, Überweisungen tätigen und die Zwei-Faktor-Authentisierung per mTAN komplett aushebeln.
ZertSecurity benutzte zwei Command&Control-Server, die in der verschlüsselten Konfigurationsdatei des Trojaners zu finden sind. Diese wurden inzwischen abgeschaltet.
Mehr Information zur Thematik finden Sie direkt im Lookout-Blog!
