Vultur: Gefährlicher Android-Trojaner im Umlauf

06.08.2021 Daniela Schütte 0

Seit Kurzem ist eine neue Schadsoftware namens “Vultur” unterwegs, die es auf Android-Smartphones abgesehen hat und eine ernst zu nehmende Bedrohung darstellt. Das Neue an dem Virus ist, dass er Bildschirminhalte vom Handydisplay aufzeichnet und auch Tastatureingaben mitprotokolliert. So ist es ein Leichtes, Login-Daten abzufangen, insbesondere für Online-Banking Zugänge oder Krypto-Wallets, die zur Verwaltung von Bitcoin & Co dienen.

Bislang sind vor allem User in Italien, Spanien und Australien betroffen. Bekannt ist auch, dass Banking-Apps u.a. von ING, HSBC und Santander ausspioniert wurden. Das Ziel der Kriminellen ist in jedem Fall, möglichst viele persönliche Informationen zu erhalten, mit denen groß angelegter Online-Betrug möglich ist. Das Potential dafür hat der Schädling.

Verdeckte Gefahr aus dem Google Play Store
Der Schadcode versteckt sich in einer App, die über den offiziellen Google Play Store installiert wird und die sich “Protection Guard” nennt. Sicherheitsexperten zufolge weist sie über 5000 Installationen auf – und damit wohl auch ebenso viele Opfer.

Vultur ist ein so genannter Remote Access Trojaner (RAT). Er ermöglicht es Dritten, aus der Ferne auf das befallene Smartphone zuzugreifen und es zu steuern. Dafür werden Funktionen des Virtual Networking Computing (VNC) genutzt – in missbräuchlicher Verwendung. Denn eigentlich ist VNC als sinnvolle Technologie erdacht, wird in der IT zur Fernwartung von Geräten eingesetzt.

Nach Aussage von Sicherheitsforschern ist Vultur der erste Banking Trojaner, der auf die Aufzeichnung von Bildschirminhalten setzt. Für die Kriminellen ist dieses Verfahren viel einfacher und weniger aufwendig als früher der Nachbau von Webseiten als Phishing-Seiten. Zudem ist es viel effektiver, denn der Nutzer, der bei Phishing-Seiten dazu bewegt werden muss, seine Daten aktiv in gefälschte Formulare einzugeben, kann sich bei Vultur gar nicht gegen die Displayaufzeichnung wehren und bemerkt sie meist nicht einmal.

Einmal eingefangen, kaum wieder los zu werden
Damit nicht genug: Besonders tückisch ist, dass sich der Trojaner kaum wieder von dem infizierten Smartphone entfernen lässt. Denn die App Protection Guard kann nicht deinstalliert werden – auch dafür sorgt der Schädling: Vultur verhindert, dass der Benutzer den „Deinstallieren“-Button der App erreichen kann. Er wird immer wieder zurück zur Hauptseite der Einstellungen gelenkt.
Dieser neue Schadcode zeigt einmal mehr, wie sich die kriminellen Methoden immer weiter entwickeln und immer ausgereifter werden.

Umso wichtiger gilt:

Es gibt keinen 100%-igen Schutz.
Die Angriffe sind wirklich häufig gut getarnt.
Neue Apps nur mit Bedacht und Vorsicht installieren.
Sich vorab so gut es geht über die Herkunft informieren. 
Im Zweifel lieber nicht installieren!

Sie haben Fragen oder brauchen Hilfe?
Sie sind unsicher, ob Ihr Handy evtl. befallen ist? Sprechen Sie uns gern an. Wir freuen uns auf Ihren Kontakt!

Play-Store & Co.:
Man kann eigentlich nur hoffen, dass die Apps gut geprüft werden, bevor sie in den Store kommen, und dass Google Protect gute Arbeit macht. Vollständige Sicherheit gewährleisten die App-Stores aber leider auch nicht. Es ist zu empfehlen, die App-Installation aus externen Quellen weitestgehend zu deaktivieren.

Zu beachten:
Die den Schadcode verbreitende App “Protection Guard” ist nicht zu verwechseln mit der App “NetGuard”. NetGuard ist eine kostenlose Firewall-App für Android, mit der man die Datenströme pro App und die Internetzugriffe detailliert steuern kann.

NetGuard im Play Store

Quellen:
Vultur: Android-Trojaner späht Login-Daten für Bankkonten und E-Wallets aus (heise.de)
Android betroffen: Malware Vultur zeichnet den Bildschirm auf (t3n.de)

Bild:
Auf der Grundlage von Wikimedia Commons. By Google Play [Public domain].

Apps, Phishing, Security, Virus