Smartphones, die das Android-Betriebssystem nutzen, könnten Opfer der Malware werden. (Foto: t3n)
Eine neue Malware sorgt für Unruhe im Android-Kosmos. Vultur spioniert den Handybildschirm von Nutzern aus, die die App Protection Guard heruntergeladen haben. Der Trojaner zeichnet die Bildschirmdaten auf, IT-Sicherheitsforscher von Threatfabric fanden die Schadsoftware bereits im März 2021. Besonders hat es Vultur laut ihrem Bericht auf Onlinebanking- und Krypto-Wallet-Daten abgesehen. Betroffen seien vor allem Nutzer in Italien, Australien und Spanien. Banking-Apps von HSBC und Santander wurden ausspioniert.
Vultur ist ein Remote-Access-Trojaner, der den Zugriff auf und die Steuerung des Smartphones durch Dritte aus der Ferne ermöglicht. Die Schadsoftware nutzt dafür Virtual-Networking-Computing, kurz VNC. Generell können Daten so abgerufen, gespeichert und weiterverbreitet werden. Für den Fernzugriff nutzt der Trojaner das Programm Ngrok, das den Fernzugriff auf den VNC-Server des betroffenen Geräts möglich macht. Durch die Nutzung von VNC wird auch die Bildschirmaufzeichnung möglich, die laut Threatfabric unter die Bezeichnung „Bildschirmfreigabe mit Fernzugriff“ fällt. Gleichzeitig hat Vultur Zugriff auf die Eingabehilfedienste. Alles, was der Nutzer in Apps eingibt, für die sich die Malware interessiert, wird durch den eingeschleusten Bot aufgezeichnet und gespeichert.
Bildschirmaufzeichnung statt Website-Nachbau
Besonders die Nutzung der Bildschirmaufzeichnung in diesem Rahmen ist neu. Frühere Schadsoftware in dem Bereich baute quasi eine Website nach, um dadurch den Nutzer zur Eingabe seiner Daten zu bewegen. Vultur nimmt stattdessen die Daten des Displays auf und erlangt so beispielsweise Zugriff auf Kennwörter. Das Verfahren ist simpler als das bis dato übliche Vorgehen des Website-Nachbaus.
Betroffene werden die App schwer wieder los
Aufgrund dieses Vorgehens gaben die Sicherheitsexperten von Threatfabric der Malware den Name Vultur, der für Geier steht. Wie der Greifvogel späht die Schadsoftware die ahnungslosen Nutzer aus und gelangt so unter anderem an ihre Banking-Daten.
Zudem kann die Malware-einschleppende App Protection Guard nicht einfach gelöscht werden. Vultur verhindert, dass Nutzer in den Einstellungen ihres Smartphones bis zur Deinstallation kommen, indem die Schadsoftware die Nutzer immer wieder aus dem entsprechenden Menü zurückführt. Somit kommen Betroffenen nicht zum Deinstallations-Button. Um dieses Problem zu lösen, können Android-Nutzer in den Einstellungen unter dem Menüpunkt „Sicherheit und Standort“ auf „Apps zur Geräteverwaltung“ gehen und dort die App Protection Guard entfernen, dann sollte die Deaktivierung möglich sein. Dieser Tipp kommt von den Kollegen von Connect, konnte jedoch nicht verifiziert werden.
