Wer Paypal oder die Apps anderer Banken auf seinem Android-Smartphone nutzt, muss derzeit gut aufpassen. Machen Kunden das falsche Update, erhalten Betrüger nicht nur ihre Zugangsdaten.

Antivirus-Software-Hersteller Trend Micro warnt in einem Blogeintrag vor einem Angriff auf Mobile-Banking-Kunden. Gangster verschicken Spam-Nachrichten in deutscher Sprache, die zum Installieren eines Updates für Banking-Apps auffordern. Dabei haben die Angreifer Kunden von Paypal, der Commerzbank, der ING Bank und der Postbank im Visier.

Die Nachrichten sind offenbar zum Teil dilettantisch angefertigt, Trend Micro zeigt einen Text mit gescheiterten Umlauten. Kunden, die trotzdem der Update-Aufforderung nachkommen, haben nur noch eine Gelegenheit, zu erkennen, dass sie sich einen Trojaner aufs Smartphone holen: Der Schädling verlangt bei der Installation die Berechtigungen eines Geräteadministrators. Tut dies eine Android-App, sollten Nutzer immer alarmiert sein. Denn damit erhält eine Anwendung Zugriff auf fast alle sensiblen Bereiche und hat dann viele Möglichkeiten, Schaden anzurichten.

Trojaner taucht ab

Selbst wenn der Anwender die Administrator-Berechtigungen verweigert, verschwindet die bösartige App vom Hauptbildschirm, läuft aber weiterhin im Hintergrund. Sie wird auch vom Startbildschirm ausgeblendet, so dass es fast unmöglich ist, sie zu entfernen.

Darüber hinaus fordert der Schädling weitere Berechtigungen: zum Ändern des Passworts für die Bildschirmsperre, für das Setzen von Passwortregeln, das Sperren des Bildschirms oder das Verschlüsseln der gespeicherten Anwendungsdaten. Außerdem überwacht der Trojaner die App-Aktivitäten auf dem infizierten Gerät und kann sogar auf SMS-Befehl Anrufe tätigen.

Stellt der Trojaner fest, dass eine Banking-App geöffnet wird, kapert er den Bildschirm des Geräts und platziert eine gefälschte App-Anzeige statt der echten. Wer jetzt seine Zugangsdaten zum mobilen Online-Banking eintippt, wird das Opfer der Angreifer. Die Betroffenen merken dies zunächst nicht, denn der Schädling kontrolliert auch den SMS-Eingang. Schickt eine Bank Nachrichten, sortiert der Schädling diese aus, um möglichst lange unentdeckt zu bleiben.

PINs in Gefahr?

Da über die gefälschten Apps kein Banking-Vorgang stattfindet, werden wohl keine mobilen PINs versendet, die der Trojaner abfangen könnte. Es ist aber nicht ausgeschlossen, dass er dies beim Einsatz der echten Anwendungen doch noch tut. Trend Micro hat mehr als 200 Apps gezählt, die zu dieser Malware-Familie gehören. Sie tragen unterschiedliche Bezeichnungen und einige davon haben nichts mit Banken zu tun.

Die gute Nachricht: Nutzer, die sich vor solchen Trojaner-Apps schützen wollen, müssen eigentlich nur Googles Voreinstellungen in Android unverändert lassen und sich an einige grundsätzliche Sicherheitsregeln halten.

- In den Einstellungen ist unter Sicherheit die Installation aus unbekannten Quellen deaktiviert. Das sollte nicht geändert, sondern Apps grundsätzlich nur aus dem Play Store bezogen werden.

- In E-Mails oder anderen Nachrichten nie auf Links tippen oder klicken, wenn man nicht ganz genau weiß, wer sie geschickt hat. Selbst bei bekannten Absendern sollte man misstrauisch sein und überprüfen, ob Adresse und weitere Details korrekt sind.

- Niemals bei einer App-Installation die Berechtigungen einfach akzeptieren, sondern genau lesen, was gewünscht wird. Bei Verständnis-Problemen bietet Google eine gute Hilfe-Seite.