Vorsicht – neue Falle räumt dein Bankkonto sofort leer

Xenomorph: So heißt in den "Alien"-Filmen die angsteinflößende Spezies, die vom Schweizer Künstler H.R. Giger entworfen wurde – und nun auch eine gefährliche Schadsoftware für Android-Handys. Der Name ist Programm. So warnen Sicherheitsforscherinnen und Sicherheitsforscher eindrücklich davor. Denn weltweit sind mehr als 400 Banking-Apps und Kryptodienste gefährdet. 

Entdeckt wurde die Schadsoftware erstmals Anfang 2022 und nun ist eine neue Version, Xenomorph.C, aufgetaucht. Es sei einer der gefährlichsten und fortschrittlichsten Trojaner, der im Umlauf ist, sagt die IT-Sicherheitsfirma Threatfabric.

Xenomorph: So ist das Geld weg

Was aber macht die neue Variante so gefährlich? Es ist der komplett automatisierte Prozess. Ist das Handy erst einmal infiziert, läuft alles selbstständig ab. Der Trojaner findet Login-Daten, fragt den Kontostand ab und kann dann Transaktionen auslösen – und das, ohne, dass die Opfer etwas davon mitbekommen. Möglich macht dies die Bedienungshilfe von Android und das sogenannte ATS Framework. Dabei kann Xenomorph sogar eine Zweifaktorauthentifizierung selbstständig aushebeln, schreibt Threatfabric. Dann ist das Konto leer.

Im Visier der Cyberkriminellen hinter Xenomorph stehen zahlreiche Banken, wie etwa die Deutsche Bank, die Commerzbank, Chase aus den USA und HSBC. In Deutschland sind laut Threatfabric total 18 Finanzinstitute betroffen. Besonders im Fokus sind die Länder Spanien, Portugal und Italien. Schweizer Banken sind laut den Angaben der Sicherheitsforscherinnen und Sicherheitsforscher nicht betroffen. Hingegen sind zahlreiche Apps von Kryptodiensten gefährdet. Darunter etwa Coinbase, Binance, Kucoin oder Crypto.com.

Vorsicht vor dieser App

Ausgeklügelt ist auch, wie die Schadsoftware überhaupt auf die Smartphones kommt. So wird sie an legitime Apps gekoppelt. Installiert man diese, lädt sich die Malware in einem nächsten Schritt als getarntes Update herunter. Threatfabric konnte eine App ausmachen, die als trojanisches Pferd dient: Der Währungsrechner CoinCalc.

Hacker im Hintergrund

Laut der IT-Sicherheitsfirma stecken Cyberkriminelle hinter Xenomorph, die sich ironischerweise selbst als Hadoken Security Group bezeichnen. Diese verkaufen die Schadsoftware auf ihrer Website als sogenannte Maas, als Malware as a Service (Malware als Dienstleistung). "Dass die Hacker angefangen haben, aktiv für Xenomorph zu werben, deutet auf klare Absicht hin, die Reichweite zu vergrößern", so Threatfabric. Man gehe davon aus, dass die Malware auch über weitere Apps im Play Store verbreitet werde.

So schützt du dich

Laut Bleepingcomputer.com sollten Nutzerinnen und Nutzer beim Installieren von Apps besondere Vorsicht walten lassen. Auch bei solchen, die sie von Google Play installieren. Weiter solle man Bewertungen zu Apps lesen und eine sorgfältige Prüfung der Entwickler durchführen. Generell sei es ratsam, die Anzahl Apps auf dem Handy so klein wie möglich zu halten.

Laut einem Statement von Google sind die identifizierten bösartigen Apps nicht bei Google Play zu finden. Weiter würde Google Play Protect Android-Geräte schützen – auch dann, wenn sie von anderen Quellen installiert wurden.