Veröffentlicht inDigital Life

Vorsicht, Android-User: Diese Banking-Apps im Google Play Store sind ein Fake

Gleich drei Fake-Apps haben es in Googles eigentlich sicheren Play Store geschafft. Kundendaten waren davor natürlich nicht sicher.

Smartphone mit Formular auf Display
Selbst in den Google Play Store schaffen es fragwürdige Anwendungen

Sicherheitsforscher von ESET konnten im Google Play Store drei Fake-Banking-Apps ausfindig machen. Mittels falscher Werbeversprechen, das Kreditlimit bei drei Banken in Indien heben zu können, ergaunerten sie sensible Kreditkartendaten sowie Log-in-Informationen für Online-Banking.

Fake-Banking-Apps bereits hundertfach heruntergeladen

Die gestohlenen Kundendaten waren anschließend auf einem Server gelagert und dort ohne Schutz öffentlich einseh- und abschöpfbar.

Fake-Banking-Apps im Google Play Store:

  • iMobile by ICICI Bank
  • RBL MoBANK
  • HDFC Bank MobileBanking (New)

Die gefälschten Anwendungen wurden laut ESET im Juni und Juli 2018 in Googles Play Store hochgeladen. Der Konzern löschte die Apps zwar, nachdem ESET Alarm geschlagen hatte. Zu jenem Zeitpunkt waren die Fake Banking-Apps aber bereits hunderte Male auf Android-Geräten installiert worden. ESET konnte die drei fraglichen Anwendungen einem Angreifer zuordnen, auch wenn die Apps jeweils unter einem anderen Namen online gegangen waren.

Funktionsweise der falschen Banking-Apps

Das Schema der Apps ist gleich. Nachdem die Anwendungen gestartet werden, erscheint ein Anmeldeformular, in das der User seine Kreditkartendaten eintragen muss. Hat er das Formular ausgefüllt und seine Eingaben bestätigt, wird der Nutzer zum nächsten Formular geführt. Dort werden die Daten zum Online-Banking abgefragt.

Auffällig ist laut ESET, dass trotz der Markierung „required (*)“ an manchen Feldern auch leere Formulare übermittelt werden können. Ein Indiz dafür, dass durch diese Banking-Apps Phishing betrieben wird.

Die Funktionalität der Apps endet mit einer Danksagung sowie der fälschlichen Aussage, dass sich der Kundendienst in Kürze melden wird. Die Daten selbst werden in Klartext an die Server der Angreifer übermittelt, die dort von jedem mit dem passenden Link ohne Authentifizierung eingesehen werden können. Dadurch werden sie zugänglich für weitere potenzielle Angreifer.

Tipps, mit denen ihr euch vor Fake Banking-Apps schützen könnt:

  • Habt ihr solche Fake-Apps installiert, deinstalliert sie umgehend.
  • Überprüft eure Bankkonten auf auffällige Aktivitäten oder Transfers.
  • Ändert euren PIN-Code und die Zugangsdaten für das Online-Banking.
  • Vertraut nur Banking-Apps, die auch von der dazugehörigen Bank-Webseite verlinkt werden.
  • Gebt niemals eure Login-Daten für das Online-Banking in ein Formular ein, dessen Herkunft und Sicherheit unklar ist.
  • Schaut euch die Bewertungen der Apps im Vorfeld an. Sie geben Aufschluss über die Vertrauenswürdigkeit.
  • Haltet euer Smartphone und/oder Tablet auf dem neuesten Stand.

Du willst mehr von uns lesen? Folge uns auf Google News.