In einer aktuellen Studie hat der Anbieter von Mobile-Security-Lösungen Zimperium Angriffe auf Banking- und weitere Finanzapps mit Trojanern untersucht. Die Autoren benennen über 600 Applikationen mit insgesamt über 1 Milliarde Downloads weltweit, die ins Visier genommen werden.

Die Zahl Angriffe auf Finanzapps mit Trojanern nimmt zu, halten die Autoren fest. Dies hänge auch mit dem Trend zu Mobile-Banking zusammen, der mit der Pandemie weiter angetrieben wurde.

Ein weit verbreiteter Banking-Trojaner ist gemäss der Studie Teabot, der auch in der Schweiz beobachtet wurde. Es handle sich bei Teabot um einen allgemeineren Banking-Trojaner, der "es auf die meisten Finanz-Applikationen mit eher standardmässigen Funktionen abgesehen" habe.

Teabot wurde gemäss Zimperium erstmals Anfang 2021 entdeckt und nahm zunächst vor allem spanische Banken ins Visier. Im Laufe der Zeit seien mit diesem Trojaner, der auch als Anasta oder Toddler bekannt ist, Angriffe auf die Apps von mehr als 400 Banken in verschiedenen Regionen beobachtet worden. Dazu gehören laut dem Bericht auch die Apps von rund einem Dutzend Instituten aus der Schweiz, inklusive UBS, Credit Suisse, Postfinance, Neon sowie die Twint-Apps einiger Institute.

Sobald sich Teabot auf dem Gerät des Opfers befinde, überprüfe der Trojaner, welche Anwendungen installiert seien, so Zimperium. Werde eine spezifische Banking-App entdeckt, lade der Trojaner eine Payload speziell für diese App nach.

Einem Kaspersky-Report zufolge verfügt Teabot über eine Reihe von Fähigkeiten, die von Keylogging bis hin zur kompletten Kontrolle über ein Android-Gerät reichen. Der Trojaner lege sich beispielsweise über die Anmeldeseite einer legitimen Banking-App, um Login-Daten zu stehlen. Er könne auch Kontodaten stehlen oder Benachrichtigungen überwachen, um einen 2-Faktor-Code abzufangen.

Zimperium rät Anwendern zu Vorsicht beim App Download. Teabot sei zu Beginn insbesondere durch schädliche Applikationen ausserhalb des Google-Play-Stores verbreitet worden, beispielsweise durch vermeintliche Viren-Scanner. Ein Bericht vom März 2022 beschreibt, wie Teabot über eine App zum Lesen von QR-Codes aus dem Google Play Store verteilt wurde. Die App verlange nach dem ersten Download ein Update, das aber nicht über den Play Store, sondern von einer anderen Quelle bezogen wurde, um den Trojaner einzuschleusen.

Der vollständige Report von Zimperium mit einer Liste der Top-10-Trojaner steht online zum Download verfügbar.