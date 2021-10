Berichten von Sicherheitsforschern zufolge ist der Banking-Trojaner Hydra für Android-Geräte zurückgekehrt und nimmt derzeit Commerzbank-Kunden ins Visier. Die Malware kann etwa Daten für das Onlinebanking mitschneiden.

Davor warnen Sicherheitsforscher von Cyble. Sie sind nach der Veröffentlichung eines Twitter-Beitrags von MalwareHunterTeam auf den Schädling aufmerksam geworden. Im Anschluss haben sie mehrere Samples analysiert.

Es soll sich um eine Weiterentwicklung des Hydra-Trojaners handeln, der 2019 auf dem Radar von Sicherheitsforschern auftauchte. Der Trojaner lauere zurzeit auf einer Fake-Commerzbank-Website. Bei der Installation soll die Malware umfangreiche Rechte anfordern.

Trojaner mit vielen Schadfunktionen

Nickt ein Opfer diese ab, soll Hydra etwa über die Accessibility-Services eingegebene Zugangsdaten mitschneiden können. Diese Services sind eigentlich dafür da, dass Menschen mit Einschränkungen Android-Hardware nutzen können. Dafür kann der Service beispielsweise alle Inhalte auf dem Bildschirm einsehen. Das ist natürlich ein gefundenes Fressen für Trojaner.

Außerdem soll die Hydra-App mit Admin-Rechten laufen und Angreifern so die Möglichkeit geben, Opfer umfassend auszuspionieren. So kann der Schädling nicht nur Log-in-Daten kopieren, sondern unter anderem auch weitere Berechtigungen aktivieren und etwa in einem Online-Banking-Formular eigene Werte eintragen.

Attacken nicht ohne Weiteres möglich

Doch damit es überhaupt erst so weit kommt, muss ein Opfer sich schon ziemlich hinters Licht führen lassen. Als Erstes muss es eine trojanisierte Fake-Commerzbank-App aus einer dubiosen Quelle installieren. Dann muss es die umfangreichen Berechtigungen abnicken, damit der Schadcode in vollem Umfang loslegen kann.

In welchem Umfang die Hydra-Kampagne derzeit läuft, führen die Sicherheitsforscher nicht aus. Eine Antwort der Commerzbank auf eine Anfrage von heise Security steht noch aus. [UPDATE] Mittlerweile liegt eine Antwort vor (s.u.).

[UPDATE 05.10.2021 09:00 Uhr]

Eine Sprecherin der Commerzbank rät, Apps nur aus Googles App Store zu installieren und die Option für die Installation von Apps aus „unbekannter Herkunft“ nicht zu aktivieren. "Dann sind die User vor solcher Malware geschützt". In Bezug auf die Hydra-Attacken spricht sie von "wenigen Einzelfällen".

(des)