LEGALAUDIT
Cyber Coach

Mobil

Falsche Bank-Apps, APK-Trojaner und rogue MDM-Profile

SMS 'App-Update' installiert APK außerhalb des Stores oder .mobileconfig-Profil auf iPhone.

10 Min LesezeitExperte

Warnzeichen

  • SMS oder WhatsApp mit Installation außerhalb offiziellem Store
  • Android: APK fragt SMS-, Accessibility-, Overlay-Berechtigungen ab
  • Bank-App-Icons mit ähnlichen Namen aber unbekanntem Entwickler
  • iOS: Anfrage zur Installation MDM- oder .mobileconfig-Profil
  • Browser leitet auf 'cdn.<bank>-app.apk.zip' um
  • Berechtigungen viel breiter als nötig (SMS, Kontakte, Mikrofon für Bank?)
  • App fordert Deaktivierung von Play Protect oder Lookout

Was jetzt tun

  • Bank-Apps nur aus offiziellem Store, Entwickler verifizieren
  • Auf Android 'unbekannte Quellen' deaktivieren
  • Nie MDM-Profile auf iPhone auf Anfrage Fremder installieren
  • Bei Installation: Flugmodus, Backup, Werksreset, selektive Wiederherstellung
  • Alle Passwörter ändern, Sessions von sauberem Gerät widerrufen
  • Aktive Accessibility-Services prüfen: Banking-Trojaner verstecken sich oft dort
  • Auf iOS Einstellungen -> Allgemein -> VPN/Geräteverwaltung prüfen

Echter Fall

Anatsa-Trojaner via Post-SMS, Italien 2025

Eine landesweite Kampagne sendet SMS 'Post: App nicht aktuell, jetzt herunterladen' mit Link zu post-update.tk. Der Link installiert Anatsa, einen Android-Banking-Trojaner, der sich initial als PDF-Reader tarnt.

Einmal installiert, fordert Anatsa Accessibility-Services. Nach 48 Stunden injiziert es falsche Overlays auf legitime Bank-App, stiehlt Zugangsdaten und OTP in Echtzeit. Eine Buchhalterin in Padua verlor 14.500 EUR in drei Nacht-Transaktionen.

Mythos analysierte die APK: Signaturzertifikat einem bekannten Anatsa-Cluster zugeordnet, Manifest mit Accessibility-/Overlay-Berechtigungen, Binary-Hash in Threat-Intel-Feeds. Dossier verband Opfer mit größerer Kampagne mit über 4.200 infizierten Geräten.

Was Mythos in diesem Fall kann

  • Statische APK-Analyse: Manifest, Berechtigungen, Signaturzertifikat, Hashes
  • Binary-Vergleich mit Threat-Intel-Feeds (bekannte Banking-Trojaner)
  • iOS-.mobileconfig-Verifizierung: Payload, CA, MDM-Endpoint
  • String-Extraktion und C2-Endpoint-Erkennung aus dem Binary
  • Technisches Dossier für Anzeige und Geräte-Wiederherstellungshilfe

Nächste Schritte

App mit Mythos analysierenMit Mythos sprechen