Schadsoftware TeaBot versucht Bankdaten auf Android-Geräten auszuspionieren

Gefahrenwarnung

Durch das Herunterladen von infizierten Android-Apps geraten Nutzer in das Visier von Cyberkriminellen. Auch deutsche Nutzer sind davon betroffen. Mithilfe der Schadsoftware “TeaBot” versuchen die Cyberkriminellen an die Bankdaten der Nutzer zu gelangen. Erfahren Sie, worin genau die Bedrohung besteht und was Sie tun können.

Was ist passiert?

Am 12. Mai gaben italienische Sicherheitsforscher von Cleafy die Entdeckung einer neuen Android-Malware namens „TeaBot“ bekannt. Die Schadsoftware wurde erstmals Anfang Januar entdecktund als Banking-Trojaner eingeordnet. Das Hauptziel von TeaBot ist es, die Zugangsdaten und SMS-Nachrichten der Opfer abzugreifen, um damit Betrugsvorfällegegen eine vordefinierte Liste von Banken zu ermöglichen. Angriffe auf deutsche Banken wurden zum ersten Mal Anfang Mai dieses Jahres beobachtet.

Welche Risiken bestehen durch TeaBot für mein Unternehmen?

Sobald die Schadsoftware erfolgreich auf dem Gerät des Opfers installiert ist, erhalten die Angreifer einen Live-Stream des Bildschirms des betroffenen Geräts. Außerdem können sie über dessen Zugangsdienste mit dem Gerät interagieren, um so die Anmeldedaten und SMS-Nachrichten der Nutzer zu kapern und betrügerische Aktivitäten zu ermöglichen. Die Malware ist in einer kompromittierten mobilen App „versteckt“, die vermutlich vor Kurzem heruntergeladen wurde.

Weitere Hintergründe zur Bedrohung durch TeaBot

Das IT-Sicherheitsportal Zdnet beschreibt: „Die App trug zunächst den Namen TeaTV, wechselte dann aber immer wieder den Titel zu „VLC MediaPlayer“, „Mobdro“, „DHL“, „UPS“ und „bpost“. Aktuell läuft die Malware unterdem dem Begriff “TeaBot”. Sie scheint alle Hauptmerkmale des neuen Typs von Android-Banking-Trojanern aufzuweisen, die sich durch den Missbrauch von sogenannten Accessibility Services auszeichen. Diese Accessibility Servicesermöglichen es einer Anwendung, mit anderen Apps zu interagieren. Beispiele dafür wären:

  • Fähigkeit zur unbemerkten Aktivität im Hintergrund.
  • Fähigkeit, Overlay-Angriffe gegen mehrere Bankanwendungen durchzuführen, um Anmeldedaten und Kreditkartendaten zu stehlen.
  • Fähigkeit, SMS zu senden / abzufangen / zu verstecken.
  • Fähigkeit, Schlüsselprotokollierungsfunktionen zu aktivieren.
  • Fähigkeit, Google-Authentifizierungscodes zu stehlen.
  • Fähigkeit, die vollständige Fernsteuerung eines Android-Geräts zu erlangen (über Accessibility Services und Bildschirmfreigabe in Echtzeit).

Wie die Forscher von Cleafy herausfanden, hat die Malware drei Hauptfunktionen:

  • Keylogging, d. h. Aufzeichnung aller Eingaben auf dem angegriffenen Gerät.
  • Aufnahme von Screenshots.
  • Overlay-Angriff, wobei der Angreifer in der Lage ist, Aktionen im Namen des Opfers durchzuführen.

Was kann ich tun? 

Wenn Sie ein Android-Nutzer sind, achten Sie besonders auf die Apps auf Ihrem Smartphone. In Anbetracht der Tatsache, dass der TeaBot in den kompromittiertenAnwendungen wie VLC Media Player, TeaTV, DHL und UPS „versteckt“ wurde, empfehlen wir, das Telefon auf das Vorhandensein dieser Apps zu überprüfen. Wenn Sie kürzlich eine der genannten Apps heruntergeladen haben, sollten Sie besonders aufmerksam sein – vor allem, wenn diese nicht aus offiziellen Quellen stammen (z.B. den Play Store oder direkt vom Anbieter der App). Ein aktueller Angriff ist schwer zu identifizieren. Was Sie misstrauisch machen sollte, ist der Erhalt einer ungewöhnlichen Nachricht mit Link zu einer Banking-App. Behalten Sie außerdem die Zahlungen Ihres Firmen-Konto im Blick. Dies gelingt z. B. per E-Mail/Nachricht, die über jede getätigte Transaktion informiert. Meist kann dieser Service in dem Online-Portal Ihrer Bank eingestellt werden. Wenn Sie unerwartete Abbuchungen auf Ihrem Bankkonto feststellen, sollten Sie sich sofort mit Ihrer Bank in Verbindung setzen.

Der nächste Schritt sollte die Installation sämtlicher Updates auf Ihrem Android-Gerät sein. Um Ihr Telefon vor Malware zu schützen, empfehlen wir, das Herunterladen von Apps von Drittanbieter-Seiten zu vermeiden und sorgfältig zu überprüfen, welche Apps Sie (auch aus dem Google Play Store) herunterladen. Außerdem ist es wichtig, nicht auf Links zu klicken. Vor allem, wenn Sie die Nummern nicht zuordnen können oder derartige Nachrichten nicht von einer bekannten Nummer erwarten.