Schon wieder haben es eine Reihe von Fake Mobile Banking Apps in den Google Play Store geschafft. Dieses Mal haben sich verschiedene gefälschte Android Anwendungen als Banking Apps aus Neuseeland, Australien, dem Vereinten Königreich, der Schweiz und Polen getarnt. Außerdem betroffen: Die österreichische Tauschbörse für Kryptowährungen Bitpanda. Die Fake-Apps enthalten bösartige Formularfelder mit Hilfe derer Kreditkartendaten und/oder Online-Banking Logins abgefangen werden. Die Android-Anwendungen tarnen sich als legitime Services.

Sechs der schädlichen Fake-Apps aus dem Google Play Store

Abbildung 1: Sechs der schädlichen Fake-Apps aus dem Google Play Store

Die schädlichen Mobile Banking Fake-Apps haben es im Juni 2018 in den Google Play Store geschafft und wurden mehr als tausend Mal von ahnungslosen Usern heruntergeladen – bis Google die Anwendungen verbannte.

Der alleinige Zweck der schädlichen Anwendungen bestand darin, sensible Informationen von Android-Usern abzuschöpfen. Manche Fake-Apps profitieren von nicht existierenden offiziellen mobilen Anwendungen, wie beispielsweise bei Bitpanda – andere ahmten schlichtweg die offiziellen Pendants nach. Eine vollständige Liste von anvisierten Banken haben wir am Ende dieses Artikels zusammengestellt.

„Diesen Trend machen sich Cyberkriminelle zunutze. Nutzer sollten bei digitalen Finanzgeschäften also sehr wachsam sein, um sensible Daten nicht in falsche Hände zu geben.“

Wie funktionieren die gefälschten Mobile Banking App?

Alle untersuchten Fake-Apps folgen derselben Prozedur. Nach dem Starten zeigen sie auszufüllende Formularfelder. Dort sollen Kreditkartendaten und/oder Login-Informationen eingetragen werden (siehe Abb. 2).

Nach dem Ausfüllen und dem Bestätigen überträgt die Fake-App die sensiblen Daten zu den Servern der Cyberkriminellen. Dann präsentieren die Fake-Apps dem Opfer in einem nächsten Bildschirm eine “Congratulations”- oder “Thank you”-Nachricht (siehe Abb. 3). Hier endet ihre „Funktionalität“ auch schon.

Betrügerische Formularfelder - Vorsicht Phishing!

Abbildung 2: Betrügerische Formularfelder - Vorsicht Phishing!

Abschlussnachricht - Funktionsende der Fake-App

Abbildung 3: Abschlussnachricht - Funktionsende der Fake-App

Wie schützen sich Android-User vor Fake Mobile Banking Apps?

Wer sich eine der betrügerischen Anwendungen heruntergeladen hat, sollte die Fake-App umgehend deinstallieren.

Natürlich raten wir auch zur sofortigen Änderung der Kreditkarten-PIN sowie zur Aktualisierung des Online-Banking Passworts. Falls User von Bitpanda glauben, betroffen zu sein, sollten sie nach verdächtigen Aktivitäten in ihrer Tauschbörse suchen und selbstverständlich auch ihr Passwort ändern.

Nachfolgend listen wir in paar ganz allgemeine Regeln, wie Android-User Phishing-Angriffe und Fake Mobile Banking Apps vermeiden können.

  • Nur Online-Banking Apps vertrauen, die auch auf den offiziellen Webseiten der Banken verlinkt sind.
  • Online-Banking Apps nicht über Drittanbieter beziehen – Google Play Store ist in der Regel sicher. Google bemüht sich stets, schädliche Anwendungen nach dem Auftauchen umgehend zu entfernen.
  • Aus den App-Bewertungen und den User-Kommentaren ergibt sich ein gutes Bild über die Anwendung – unbedingt durchlesen!
  • Sensible Informationen sollten generell nur in vertrauenswürdige Felder von vertrauenswürdigen Quellen eingegeben werden.
  • Android-Endgeräte sollten ständig aktualisiert werden – das gilt für die Firmware genauso wie für alle installierten Apps. ESET Antiviren-Programme erkennen und blockieren die Fake-Apps als Android/Spy.Banker.AIF, Android/Spy.Banker.AIE und Android/Spy.Banker.AIP

„Online-Banking ist sehr beliebt, da Finanzgeschäfte bequem von zuhause oder unterwegs erledigt werden können. Viele Banken setzen daher auf entsprechende Apps, um das Leben ihrer Kunden zu erleichtern“, sagt Thomas Uhlemann, Security Specialist bei ESET.

Ins Visier genommene Banken und Services

Australien und Neuseeland

Commonwealth Bank of Australia (CommBank)
The Australia und New Zealand Banking Group Limited (ANZ)
ASB Bank

Das Vereinigte Königreich

TSB Bank

Schweiz

PostFinance

Poland

Bank Zachodni WBK (umbenannt in Santander Bank Polska SA im September 2018)

Österreich

Bitpanda

Indicators of Compromise (IoCs)

Package name Hash Detection
cw.cwnbm.mobile 651A3734103472297A2C65C81757FB5820AD2AB7 Android/Spy.Banker.AIF
au.money.go DE09F03C401141BEB05F229515ABB64811DDB853 Android/Spy.Banker.AIF
asb.ezy.pay B6D70983C28B8A0059B454065D599B4E18E8097C Android/Spy.Banker.AIF
uk.mobile.tsb 91692607FB529218ADF00F256D5D1862DF90DAAF Android/Spy.Banker.AIF
ch.post.finance FE1B2799B65D36F19484930FAF0DA17A0DBE9868 Android/Spy.Banker.AIF
pl.mblzch C43E7A28E1B807225F1E188C6DA51D24DCC54F5F Android/Spy.Banker.AIE
www.bit.panda 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F Android/Spy.Banker.AIP