Smartphone-Sicherheit Raffinierter Android-Trojaner überwindet 2FA bei PayPal

dj

13.12.2018

Selbst 2FA ist vor einem neuen Trojaner nicht sicher.
Selbst 2FA ist vor einem neuen Trojaner nicht sicher.
iStock

Ein neuer Android-Trojaner kann selbst PayPal-Konten plündern, auf denen die Zwei-Faktor-Authentisierung aktiviert ist.

Ein von dem Sicherheitssoftwareanbieter ESET entdeckter Android-Trojaner ist in der Lage, selbst die Zwei-Faktor-Authentisierung (2FA) zu überwinden. Ziel des Trojaners — der sich als die App «Optimization Android» ausgibt und dem ESET den Codenamen «Android/Spy.Banker.AJZ» gab — ist das PayPal-Konto des Opfers.

Er nutzt dazu die Barrierefreiheit-Features von Android. Die sind eigentlich dazu gedacht, damit beispielsweise Hilfs-Apps Blinden den Bildschirminhalt vorlesen können. Dazu müssen diese Apps natürlich wissen, was gerade auf dem Bildschirm angezeigt wird.

Gibt man dem Trojaner die entsprechenden Berechtigungen, kann er den gesamten Bildschirminhalt abgreifen. Bereits hier sollte man also verdächtig werden.
Gibt man dem Trojaner die entsprechenden Berechtigungen, kann er den gesamten Bildschirminhalt abgreifen. Bereits hier sollte man also verdächtig werden.
ESET

Doch die Malware nutzt dieses Feature, um Login- und Passwortdaten sowie die bei PayPal per SMS verschickten 2FA-Codes abzufangen. Hat sie all diese Daten beisammen, loggt sie sich selbstständig bei PayPal ein und versendet 1000 Euro oder dessen Äquivalenz in anderen Währungen an die Cyberkriminellen. Der virtuelle Diebstahl selbst findet dann in knapp fünf Sekunden statt, wie dieses Video von ESET zeigt:

Weitere Phishing-Methode

Der Trojaner hat noch eine zweite Angriffsmethode an Bord, die so genannten Overlay Screens. Hier erscheint über legitimen Apps wie WhatsApp oder Gmail ein Pop-Up, in dem die Eingabe von Kreditkartendaten oder Google-Passwörtern verlangt wird.

Der Trojaner «Android/Spy.Banker.AJZ»  versucht auch durch Overlays Screens an Kreditkartendaten zu kommen.
Der Trojaner «Android/Spy.Banker.AJZ»  versucht auch durch Overlays Screens an Kreditkartendaten zu kommen.

Nutzer haben keine Möglichkeit diese Pop-Ups zu schliessen, sie müssen in die Felder etwas eingeben. Laut ESET akzeptiert der Trojaner aber auch die Eingabe von Fantasie-Daten.

Play Store-Sicherheit versagt

Die beschriebene Malware war nur auf Drittanbieter-Plattformen zu finden und nicht im offiziellen Google Play Store. Generell ist daher natürlich davon abzuraten, Android-Apps von anderen Quellen als dem Play Store zu installieren.

ESET entdeckte aber auch andere Trojaner mit sehr ähnlicher Funktionsweise, die es in den Google Play Store geschafft hatten. Hier wurden die Barrierefreiheit-Features genutzt, um Geld von Nutzern diverser Apps von brasilianischen Banken zu stehlen.

Passwort-Tipps: Diese Fehler lieben Hacker ganz besonders

Zurück zur Startseite