Sie klingen wie harmlose Helfer für Virenerkennung oder für mehr Speicherplatz. Doch wer sich in Googles Play-Store kürzlich die Apps „Kylhavy Mobile Security“ oder „Mister Phone Cleaner“ heruntergeladen hat, hat sein Handy auch mit dem Trojaner Sharkbot infiziert, wie IT-Expert:innen der Cybersecurity-Firma Fox-IT jetzt bekannt gegeben haben.

Zwar hat Google die beiden Apps mittlerweile entfernt, aber vorher wurden beide Anwendungen rund 60.000 mal heruntergeladen. Um sich im Play-Store zu verbreiten, griffen die Entwickler:innen von Sharkbot auf einen Trick zurück: Der Code befand sich anfangs nicht in den beiden Apps, sondern wurde erst durch ein Update auf den Endgeräten installiert.

Dadurch wurde die routinemäßige Überprüfung von Google geschickt umgangen.

Und Sharkbot ist – wie der Name vermuten lässt – ein bissiger Code. Denn der Trojaner hat es auf besonders sensible Daten abgesehen: die Logins der Onlinebanking-Accounts. Sobald der Code auf dem Endgerät installiert ist, verschafft sich Sharkbot Zugang auf die Login-Cookie-Sessions, die von den Banking-Apps verwendet werden.

Heißt: Wer sich für den Kontocheck in sein Bankkonto einloggt, gibt, ohne es zu wissen, alle seine Daten preis. Theoretisch kann Sharkbot über einen Command-and-Control-Server (C2) dann ganze Transaktionen durchführen und das Smartphone auch aus der Ferne steuern. Laut Fox-IT wurden aber insgesamt nur wenige Bankdaten abgegriffen.

Dennoch: Wer eine der beiden gekaperten Apps heruntergeladen hat, sollte diese sofort manuell löschen und das Handy mit einer vertrauenswürdigen Anti-Viren-Software scannen.

Seit seiner Entdeckung im Oktober 2021 und dem letzten Angriff Anfang dieses Jahres hat sich Sharkbot stetig weiterentwickelt. So waren zuvor etwa noch gewisse Freigaben der Nutzer:innen notwendig, um dem Trojaner ungehinderten Zugriff zu erlauben – was natürlich für Misstrauen sorgte.

Der Zugriff über die Cookies löste dieses Problem für die Schadsoftware.