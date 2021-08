Sobald User ihre Bankdaten eingeben, zeichnet die Malware den Bildschirm auf.

Der neu entdeckte Trojaner "Vultur" infiziert Android-Geräte, um Login-Daten zu stehlen. Gefunden wurde er, wie "Hacker News" berichtet, von der niederländischen Sicherheitsfirma ThreatFabric. Die Malware setzt dabei die Bildschirmaufzeichnungsfunktion des Geräts, um Daten auszulesen. Vor allem ins Visier genommen wurden bisher Nutzerinnen und Nutzer in Italien, Spanien und Australien. Bei den Logindaten handelt es sich etwa um Passwörter zum Online-Banking sowie E-Wallets für Kryptowährungen wie Bitcoin. Betroffen sind dutzende Apps, darunter etwa die Bank of Australia und Bank of Melbourne, Santander, und Bitfinex. Ein zusätzlicher Keylogger wird außerdem bei sozialen Medien wie Whatsapp und Facebook eingesetzt.

Der Name "Vultur" – eine abgewandelte Form des englischsprachigen Wortes für "Geier" – wurde gewählt, weil die Malware dabei auf Virtual Network Computing (VNC) setzt. Dabei handelt es sich um ein System, um Geräte aus der Ferne zu steuern und das vor allem während der Pandemie auf mehr Nachfrage gestoßen ist. Dabei ist es auch möglich, Inhalte aufzuzeichnen und mit anderen zu teilen – wodurch der Bildschirm auch von außen ausgespäht werden kann.

Bildschirm aufzeichnen statt Oberfläche ändern



"Vultur" ist ein Remote Access Trojaner, also eine Malware, die von außen auf Geräte von Betroffenen zugreift. Als Köder nutzten unbekannte Cyberkriminelle eine App namens "Protection Guard", die in Googles Play Store zur Verfügung gestellt wurde. Den Sicherheitsforschern von ThreatFabric zufolge setzten erstmals bekanntermaßen Hacker darauf, den Bildschirm aufzuzeichnen. Anstatt etwa eine gefälschte HTML-Oberfläche zu erstellen und diese Nutzern unterzujubeln wird einfach das gefilmt, was User sowieso am Gerät tun. Das bräuchte wohl weitaus weniger Zeit und Aufwand. Andere Malware dieser Art erstellte bisher eine gefälschte Version einer Bankplattform, die die Oberfläche der echten App überlappt.

Die Malware schützt sich selbst davor, einfach entfernt zu werden, indem sie die "Zurück"-Taste bedient, wenn User in den Einstellungen bei Android auf diese navigieren. Spannend sei laut den Sicherheitsforschern vor allem, dass keine bereits bestehende Malware, die im Darknet "gemietet" wird zum EWinsatz kommt, sondern stattdessen eine Art "private" Schadsoftware entwickelt wurde, die genau an die Ziele der Angreifer angepasst ist. (red, 2.8.2021)