Betrügerisches Android Adobe Flash Update ist Banking-Trojaner

12.12.2016
G DATA Blog

Obwohl es seit langer Zeit schon keinen eigenständigen Adobe Flash Player mehr für die Android-Plattform gibt, versuchen Betrüger aus dem Thema weiter Kapital zu schlagen. Mit Social Engineering-Techniken versuchen Sie, die Mail-Empfänger zum Download einer App zu überreden, die sich in der Analyse als Banking-Trojaner mit Fokus auf deutsche Banken entpuppte.

Die betrügerische E-Mail

Eine E-Mail im Design von Adobe erreicht aktuell arglose Benutzer. Die von den Betrügern verwendete Anrede ist nicht anonym, sondern es handelt sich um den echten Namen der zum E-Mail-Empfänger gehört. Optisch ist diese Mail auf den ersten Blick kaum von einem Adobe Original zu unterscheiden.

Sprachlich fallen jedoch einige Ungereimtheiten auf:

  1. "Systemrelavantes Update"
  2. „[Name] ihr Handeln ist notwendig.“
  3. „…alle Funktionen in Anspruch zunehmen.“
  4. „Nach der Aktualisierung […] alle Vorteil genießen.“
  5. „ […] und installieren diese ..
  6. „Nach erfolgreicher Installation stehen in umgehend […]“

Ein Klick auf den Button „Jetzt updaten“ bringt den Benutzer auf eine ebenfalls täuschend echt aussehende angeblich Adobe Webseite.

In Wahrheit hat Adobe jedoch natürlich nichts mit diesen betrügerischen Maschen zu tun und den Flash Player gibt es als solches auch nicht mehr für die Android Plattform – wir berichteten 2014 über Gefälschte Flash Player Apps im Google Play Store.

Auch auf der Webseite finden sich Sprachfehler. So fehlt unter anderem bei "Adobe Flash Player veraltet" mindestens das Verb und am Ende des Satzes auch der abschließende Punkt. Außerdem findet auf der Webseite ein Sprachmix aus Deutsch und Englisch statt. 

Ein Klick auf den Button „Install now“ leitet den Benutzer auf eine neue Domain um, von der dann direkt eine Android-App, eine .apk Datei, geladen werden soll:

Flash-Player-10-Update_09.12.16.apk
SHA256: 1b35b58cabd4f8ce18c3db13cbb220a28dc6497898506350bc664cad80be460f

Es gibt nach dem Download der .apk Datei keinen “Schritt 2 von 3” oder auch “Schritt 3 von 3”, wie die Webseite es am oberen rechten Rand suggeriert. Außerdem sind alle Hyperlinks auf der oben angezeigten Webseite deaktiviert, bis auf den „Install now“ Button.

Das angebliche Update ist ein Banking-Trojaner

Die Datei wird von der G DATA Mobile Internet Security als Android.Trojan.Banker.HA [1-V32PBF] erkannt. Nachfolgend haben wir einige erwähnenswerte Analyseinformationen zusammengestellt.

Die bösartige App verlangt bei der Installation die folgenden Rechte auf dem Telefon:

  • Schreiben, Senden, Empfangen und Lesen von SMS
  • Anrufe tätigen
  • Kontakte auslesen
  • Den Telefonbildschirm sperren
  • Über den Geräte Administrator will sie folgende Rechte aktivieren:
    • Das Ändern der Bildschirmsperre
    • Die Passwortregeln setzen
    • Den Bildschirm sperren
    • Eine Speicherverschlüsselung setzen

Der Trojaner versucht außerdem, installierte AV Produkte zu deaktivieren. Ist der Trojaner installiert, hat er eine Vielzahl von deutschen Banken im Visier und will dem User schaden, sobald er diese Banken mit seinem infizierten Mobilgerät kontaktiert.

Forscherkollegen von Fortinet hatten vor einigen Wochen ein ähnliches Sample beschrieben, das sich jedoch als gefälschtes E-Mail Programm ausgab.

Tipps und Tricks

  • Benutzen Sie eine umfassende Sicherheitslösung für Ihr Android-Mobilgerät, wie zum Beispiel die G DATA Mobile Internet Security.
  • Seien Sie misstrauisch bei sprachlich auffälligen E-Mails, besonders wenn diese angeblich von namhaften Firmen stammen sollen.
  • Laden Sie Apps möglichst nur aus dem offiziellen Google Play Store und vertrauenswürdigen Quellen.
    • Achten Sie dabei besonders auf App-Bewertungen und Kommentare sowie die von der App geforderten Berechtigungen. Prüfen und evaluieren Sie diese vor der Installation.
    • Wenn Sie sich Exemplare von weltweit bekannter Software laden möchten, überprüfen Sie, ob der im Store angegebene Entwickler wirklich der Hersteller der bekannten Software ist – besuchen Sie dazu zum Beispiel die Herstellerseite und gehen von dort in den App Store.

Das könnte Sie auch interessieren

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar