Anatsa

Banking-Trojaner stiehlt Bankdaten deutscher Nutzer

27.06.2023
Von 
Hans-Christian Dirscherl ist Redakteur der PC-Welt.
Hacker konnten ein Schadprogramm auf Google Play einschleusen. Es stiehlt die Bankdaten von Android-Nutzern. Deutsche Nutzer sind besonders betroffen.
Der Banking-Trojaner versteckt sich in verschiedenen Android-Programmen.
Der Banking-Trojaner versteckt sich in verschiedenen Android-Programmen.
Foto: rafapress - shutterstock.com

Sicherheitsexperten haben einen Banking-Trojaner für Android entdeckt, der auch in Deutschland Nutzer bedroht. Die Schadsoftware ist seit März 2023 erneut aktiv. Besonders gefährlich: Den Angreifern gelang es, den Trojaner in Apps zu verstecken, die auf Google Play zur Installation auf Android-Smartphones angeboten werden.

Nutzer aus Deutschland, Österreich und der Schweiz gefährdet

Der Banking-Trojaner hört auf den Namen "Anatsa". Er kursiert unter Android-Nutzern in den USA, Großbritannien, Deutschland, Österreich und der Schweiz. Deutschland ist sogar das Land mit der drittgrößten Zahl an Installationen.

Laut dem Sicherheitsunternehmen ThreatFabric wurde die Malware über 30.000 Mal von Google Play heruntergeladen. Unter anderem versteckt sich Anatsa in PDF-Viewer-Apps für Android. Der fiese Trojaner steckt aber auch in Editor-Apps und Office-Programmen.

ThreatFabric hat Google über die problematischen Apps informiert und Google hat diese auch sofort von Google Play entfernt. Doch die Hacker kontern umgehend und laden neue Apps auf Google Play hoch, in denen sie erneut die Schadsoftware verstecken. Die Hacker wenden dabei einen cleveren Trick an, wie ThreatFabric erklärt: Die Apps werden zunächst sauber und ohne Schadsoftware hochgeladen und erscheinen deshalb bei der Überprüfung durch Google als sicher. Später schieben die Hacker dann bei einem App-Update ihren bösartigen Code nach und können so anscheinend die Sicherheitsmechanismen von Google Play austricksen.

Installiert ein Android-Nutzer eine App mit Anatsa auf seinem Android-Smartphone oder -Tablet, dann lädt diese weitere Schadprogramme nach, die sich beispielsweise als Texterkennungs-Add-ons für Adobe Illustrator tarnen. Anatsa sammelt dann auf dem Androiden Bankkontodaten, Kreditkartendaten und sonstige Zahlungsinformationen ein, indem das Programm fingierte Webseiten öffnet, auf denen die Nutzer ihre Bank- und Kreditkartendaten eingeben sollen - das passiert immer dann, wenn die Benutzer ihre legitimen Bankapps öffnen.

Dabei handelt es sich also um Phishing; Anatsa erkennt für diese Angriffsmethode rund 600 Finanzapps von Bankinstituten rund um den Globus. Allein in Deutschland sollen drei Bank-Anwendungen betroffen sein, die namentlich aber nicht genannt werden. Außerdem zeichnet Anatsa über einen Keylogger Tastatureingaben auf.

Laut den Sicherheitsexperten nutzt Anatsa die gestohlenen Informationen, um Betrug auf dem Gerät zu begehen, indem es die Banking-App startet und Transaktionen im Namen des Opfers durchführt, wie das Sicherheitsnachrichtenportal Bleepingcomputer schreibt. Die gestohlenen Beträge wandeln die Betrüger dann in Kryptowährung um. Dieses wird über ein ausgedehntes Netzwerk in die Zielländer geleitet.

Anatsa selbst ist ein alter Bekannter: Bereits im November 2021 konnten Hacker diesen Trojaner auf Google Play einschleusen und ihn über unterschiedliche Apps wie PDF-Scanner oder QR-Code-Scanner sowie Fitness-Tracker-Apps zur Installation auf Android-Geräte anbieten; damals wurden die verseuchten Apps über 300.000 Mal installiert.

Sie finden hier die ausführliche Analyse der Schadsoftware.

So schützen Sie sich

Installieren Sie einen Virenscanner und halten Sie diesen aktuell. Laden Sie Apps nur von Google Play herunter und meiden Sie andere Download-Plattformen. Zwar schützt das in diesem Fall nicht, doch damit reduzieren Sie grundsätzlich die Bedrohung durch Schadprogramme für Android. Lesen Sie zudem bei allen Apps vor deren Installation die Bewertungen dazu auf Google Play. (PC-Welt)