Wer Onlinebanking betreibt, der muss derzeit vorsichtig sein. Besonders Android-Nutzer sind gefährdet. Eine Schadsoftware namens "Xenomorph“ treibt aktuell ihr Unwesen auf den Smartphones.

Bereits Anfang 2022 haben Sicherheitsforscher*innen der Firma Threat Fabric den Trojaner entdeckt. Zunächst wurde er nur eingeschränkt verteilt, jetzt haben die Entwickler aber eine Schippe draufgelegt - und den Xenomorph noch viel bedrohlicher gemacht. Die Malware läuft nun komplett automatisiert.

"Xenomorph": Malware führt Überweisungen automatisiert durch

Die Software versteckt sich inzwischen vermutlich in mehreren Apps im Playstore und wird von einem Virenscanner kaum erkannt. Über die Android-Bedienungshilfen und sogenannten automatisierte Transfersysteme (ATS) können die Hacker nicht nur die Login-Daten zum Bankkonto herausfinden. Auch der Kontostand wird übermittelt und es können Überweisungen getätigt werden - ohne, dass die Opfer etwas davon mitbekommen. Die ATS sind sogar in der Lage, die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Wird der Trojaner auf ein Gerät geladen, auf dem eine Bank-App genutzt wird, können die Konten somit innerhalb von ein paar Sekunden leergefegt werden - dabei müssen die Entwickler der Malware gar nichts mehr tun.

Threat Fabric bezeichnet Xenomorph als den "fortschrittlichsten und gefährlichsten Banking-Trojaner". Er kann getarnt als App, aber auch über "Dropper" auf das Smartphone gelangen. Diese sehen aus wie legitime Apps, nach der Installation öffnet sich dann eine gefälschte Playstore-Seite mit einem "Update". Darüber wird der Trojaner installiert. Doch in welchen Apps steckt die Malware?

Bislang ist nur eine App im Playstore bekannt, die die Software enthält, berichtet Techbook:  "CoinCalc". Diese kann nach wie vor aus dem Playstore geladen werden - ob der Trojaner entfernt wurde, ist jedoch unklar. User sollten deshalb keine Updates für die App installieren und sie am besten komplett löschen. Wie tag24 berichtet, steht derzeit nicht fest, ob die CoinCalc-Entwickler für den Betrug verantwortlich sind, oder selbst Opfer der kriminellen Masche wurden.

Gefährlicher Android-Trojaner: welche Banken betroffen sind

Die Kriminellen haben ein Auge auf rund 400 Banken in Ländern wie den Vereinigten Staaten, der Türkei, Spanien, Polen, Italien, Australien, Kanada, Portugal, Frankreich und auch Deutschland geworfen. Die folgenden Banken können betroffen sein:

  • Postbank
  • Deutsche Bank
  • Sparda-Bank
  • Commerzbank
  • ING Diba
  • Norisbank
  • Comdirect
  • Consorsbank
  • N26

Android-Nutzer sollten nun vorsichtig sein, welche Apps sie herunterladen, welche Berechtigungen von diesen gefordert und welche Updates installiert werden. Die Schadsoftware könnte sich künftig auch auf Apple-Geräte ausweiten.