Obwohl es seit langer Zeit schon keinen eigenständigen Adobe Flash Player mehr für die Android-Plattform gibt, versuchen Betrüger aus dem Thema weiter Kapital zu schlagen. Mit Social Engineering-Techniken versuchen Sie, die Mail-Empfänger zum Download einer App zu überreden, die sich in der Analyse als Banking-Trojaner mit Fokus auf deutsche Banken entpuppte.
Eine E-Mail im Design von Adobe erreicht aktuell arglose Benutzer. Die von den Betrügern verwendete Anrede ist nicht anonym, sondern es handelt sich um den echten Namen der zum E-Mail-Empfänger gehört. Optisch ist diese Mail auf den ersten Blick kaum von einem Adobe Original zu unterscheiden.
Sprachlich fallen jedoch einige Ungereimtheiten auf:
Ein Klick auf den Button „Jetzt updaten“ bringt den Benutzer auf eine ebenfalls täuschend echt aussehende angeblich Adobe Webseite.
In Wahrheit hat Adobe jedoch natürlich nichts mit diesen betrügerischen Maschen zu tun und den Flash Player gibt es als solches auch nicht mehr für die Android Plattform – wir berichteten 2014 über Gefälschte Flash Player Apps im Google Play Store.
Auch auf der Webseite finden sich Sprachfehler. So fehlt unter anderem bei "Adobe Flash Player veraltet" mindestens das Verb und am Ende des Satzes auch der abschließende Punkt. Außerdem findet auf der Webseite ein Sprachmix aus Deutsch und Englisch statt.
Ein Klick auf den Button „Install now“ leitet den Benutzer auf eine neue Domain um, von der dann direkt eine Android-App, eine .apk Datei, geladen werden soll:
Flash-Player-10-Update_09.12.16.apk
SHA256: 1b35b58cabd4f8ce18c3db13cbb220a28dc6497898506350bc664cad80be460f
Es gibt nach dem Download der .apk Datei keinen “Schritt 2 von 3” oder auch “Schritt 3 von 3”, wie die Webseite es am oberen rechten Rand suggeriert. Außerdem sind alle Hyperlinks auf der oben angezeigten Webseite deaktiviert, bis auf den „Install now“ Button.
Die Datei wird von der G DATA Mobile Internet Security als Android.Trojan.Banker.HA [1-V32PBF] erkannt. Nachfolgend haben wir einige erwähnenswerte Analyseinformationen zusammengestellt.
Die bösartige App verlangt bei der Installation die folgenden Rechte auf dem Telefon:
Der Trojaner versucht außerdem, installierte AV Produkte zu deaktivieren. Ist der Trojaner installiert, hat er eine Vielzahl von deutschen Banken im Visier und will dem User schaden, sobald er diese Banken mit seinem infizierten Mobilgerät kontaktiert.
Forscherkollegen von Fortinet hatten vor einigen Wochen ein ähnliches Sample beschrieben, das sich jedoch als gefälschtes E-Mail Programm ausgab.