
Sicherheitsforscher haben eine neue Malware entdeckt und analysiert. DroidBot zielt auf Bankkonten und kann ganze Geräte übernehmen. (Foto: PeopleImages.com - Yuri A / Shutterstock)
Ende Oktober 2024 wurden die Sicherheitsexperten von Cleafy erstmals auf den Schadcode aufmerksam. Jetzt haben sie ihre Ergebnisse veröffentlicht. Dabei soll es keineVerbindungen zu bekannten Malware-Familien geben; stattdessen handelt es sich um neuartige Schadsoftware mit dem Namen Droidbot.
Die vermeintlich „echte“ App klaut Nutzerdaten
Droidbot verbreitet sich nach Angaben der Forscher über Apps, die als Sicherheitsanwendungen, Banking-Apps oder Google-Dienste getarnt sind. Ist das Gerät einmal infiltriert, werden die Daten der Nutzer abgegriffen und an die Angreifer gesendet. Den Sicherheitsforschern zufolge wird die Malware stetig weiterentwickelt.
Die Funktionen der Schadsoftware sind dabei sehr weitreichend. Selbst SMS können abgefangen werden. Per SMS verschickte Zugangscodes für Zwei-Faktor-Authentifizierung können so missbraucht werden, um zum Beispiel Zugang zu Bankkonten und Krypto-Accounts zu erlangen. Weitere Funktionen sind:
- Key-Logging (Abgreifen von Passwörtern)
- Overlay-Angriff (Anzeige einer gefälschten Anmeldeseite)
- Unbemerkte Screenshots (Malware versucht über Screenshot-Routinen Daten zu klauen)
- Fernsteuerung des Geräts (Hacker übernehmen unbemerkt Kontrolle)
Angriffe quer durch Europa – auch Deutschland betroffen
Besonders stark sind Großbritannien, Italien, Frankreich, Spanien und Portugal von den Angriffen betroffen. Auch vor Deutschland machen die Angreifer laut Cleafy nicht halt.
Bei Droidbot handelt es sich um eine sogenannte MaaS (Malware as a Service). Das ist Malware, die von mindestens 17 verschiedenen unabhängigen Akteuren genutzt wird, die nicht zwingend die Köpfe hinter dem Code sind. Cleafy zufolge müssen die Angreifer den Entwicklern monatliche Gebühren von etwa 3.000 US-Dollar zahlen – quasi Malware als Abo-Modell.
Mögliche Folgen und wie man sich vor Droidbot schützen kann
Wer sich aus Versehen Droidbot eingefangen hat, kann als Laie kaum mehr unterscheiden, ob er gerade auf der echten oder falschen Website oder App seine Bankdaten eingibt. Wenn das passiert, übernimmt die Schadsoftware Stück für Stück die Kontrolle über das Gerät. Schlimmstenfalls räumen die Hacker so am Ende Konten oder Kryptowallets leer.
Um sich davor zu schützen, können Nutzer vor allem eine Sache beachten: keine Apps außerhalb von vertrauenswürdigen Quellen wie etwa dem Google Play-Store installieren. Hacker fälschen Google- und Bank-Apps mittlerweile so täuschend echt, dass ein Download auf einer vermeintlich sicheren Website schnell zur Infektion führen kann. Außerdem könnt ihr darauf achten, welche Berechtigungen eure Apps bei der Installation abfragen. Wenn eine einfache App tief ins System eingreifen möchte, solltet ihr hellhörig werden.