EventBot: Android-Malware hat es auf Banking-Apps abgesehen

Android bleibt vor Malware nicht gefeit, erst kürzlich bloggte ich ja etwa darüber, dass das sogar auch Apps für Kinder betreffen kann. Eine neue Malware namens EventBot zielt eher auf ältere Nutzer ab, denn sie will aus Banking- und Kryptowährungs-Apps Daten abzweigen.

EventBot tarnt sich als seriöse App – etwa Microsoft Word für Android, und missbraucht dann die Bedienungshilfen (Accessibility) um sich die notwendigen Privelegien zu sichern, damit im Betriebssystem mitgeschnitten werden kann. So wird dann versucht Benutzerdaten abzugreifen – gezielt von Apps wie PayPal, Coinbase oder auch CapitalOne. Zwei-Faktor-Authentisierungs-Nachrichten werden gezielt abgefangen.

Die Malware schneidet dabei im Hintergrund alle Eingaben des Nutzers mit und kann auch Benachrichtigungen lesen. Dadurch erhalten die Kriminellen sehr genaue Einblicke in das, was auf einem infizierten Gerät vor sich geht. Innerhalb der letzten Wochen hätten die Urheber der Malware dabei ständig Weiterentwicklungen vorgenommen und beispielsweise die Verschlüsselung verbessert. Es handele sich also immer noch um sehr frische Schadsoftware.

Anders als viele andere Schädlinge verwende EventBot keinen alten Code, sondern sei von Grund auf neu entwickelt werden, sodass da wohl Experten am Werk gewesen sind. Falls ihr euch nun Sorgen macht, kann ich euch jedoch beruhigen: Im offiziellen Play Store wurde EventBot bisher nicht gesichtet. Wer also keine Apps aus unbekannten Quellen installiert, ist auf der sicheren Seite. Die Verbreitung dürfte aktuell also sehr gering ausfallen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

15 Kommentare

  1. mike fedders says:

    TANs sind doch inzwischen eine Checksumme aus Zielkonto, Betrag (und wohl auch Datum/Uhrzeit), man kann also nicht einfach woanders hin überweisen, so what? Oder habe ich da was falsch verstanden? Man müsste dann also schon die KOMPLETTE Kontrolle über die App übernehmen. Und wer sich außerhalb des Playstore Apps herunterlädt…sorry, aber niemals auf dem Smartphone, auf dem ich Banking mache. Deswegen ist bei mir auch keine Banking App auf dem Phone, das ist so ziemlich das einzige, das noch vollständig auf dem Laptop ist (nur die TANs bekomme ich per SMS aufs Phone)

    • Sebastian says:

      Nicht jedes Land hat ein System auf SEPA Niveau, es gibt auch arme rückständige Drittländer wie zB die USA oder Kanada.

  2. Ich wollte mir auch letztens etwas außerhalb des AppStores runter laden, die Google Kamera für mein OnePlus Gerät. Da ich aber auf meinem Smartphone auch Banking mache, habe ich mich in letzter Sekunde dagegen entschieden, war scheinbar genau richtig.

  3. Wieder mal der Beweis das Google versagt hat.
    Diese offene Politik mit jeder darf sein Scheiß Müll in den App Store stellen ist quasi ein Offenbarungseid.
    Und wieder weine ich MS hinterher das man nicht an der geplanten Strategie der Sicherheit festgehalten hat. Lieber weniger ist mehr und Qualität vor Quantität in derem Mobile App Store statt jedem Streuner 250$ pro App in den Anus zu schieben nur um mit Zahlen der Appmenge sinnlos zu protzen. Ich hoffe das alle bei MS die dafür verantwortlich sind jedesmal denen die Galle hochkommt wenn sie auch nur ein Smartphone sehen.

  4. Ja mein Smartphone generiert oder empfängt diverse 2. Faktoren. Aber da die eigentliche Anwendung mit dem 1. Faktor nicht darauf läuft besteht keine Gefahr. Wer auf ein und dem selben Gerät 1. und 2. Faktor benutzt, hat scheinbar das Prinzip eh nicht verstanden!

    • Du hast das Prinzip mit dem zweiten Faktor aber auch nicht verstanden. Der zweite Faktor ist kein Schutz vor Geräte Fremdkontrolle von Außen oder Diebstahl! Der zweite Faktor dient nur zum Identitätsnachweis („hey, bist das wirklich du?“) oder wenn der erste Faktor (selbes Passwort bei mehreren Services) kompromittiert/bekannt ist.
      Denn es gibt nämlich noch viele andere Möglichkeiten (z.B. Sessions abgreifen, Eingabefelder vortäuschen, Software austauschen) wenn Fremdkontrolle herrscht (dann ist das Kind sowieso schon in den Brunnen gefallen ob zweiter Faktor oder nicht). Selbst USB Sicherheitskeys helfen in so einem Falle auch nicht mehr.

      • Sessions abgreifen verhindert man durch ausloggen. Eingabefelder vortäuschen und Software austauschen bringt mit ordentlicher 2FA nichts. Wenn man schnell ist, dann kann man zwar den Token noch einmal verwenden, bei eine Transaktion oder Ändern von sicherheitsrelevanten Merkmalen braucht man aber einen neuen Token. Damit kann man dann auch nicht mehr viel anfangen.

      • In meinem Beispiel ist das Gerät mit dem 2. Faktor kompromittiert. Wie soll jetzt da irgend etwas angreifbar sein?

    • Insofern ist ein zweiter Faktor auf dem gleichen Gerät nicht weniger sicher wenn nur du Zugriff auf das Gerät hast! Der zweite Faktor ist mehr zum Schutz von Angriffen von Außen auf den Internet-Service.

  5. Also 2FA mit getrennten Geräten würde in diesem Fall helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.