So entfernen Sie den Banking-Trojaner PhantomCard von Ihrem Android-Gerät

Was für eine Art von Malware ist PhantomCard?

PhantomCard ist ein Banking-Trojaner, der auf Android-Geräte abzielt. Diese Malware wird als MaaS (Malware-as-a-Service) von einem Bedrohungsakteur namens „Go1ano developer” angeboten. PhantomCard wurde nicht von „Go1ano developer” entwickelt, sondern ist eine angepasste Malware, die auf „NFU Pay” MaaS basiert, das von einem chinesischsprachigen Angreifer entwickelt wurde, wodurch „Go1ano developer” im Wesentlichen zu einem Wiederverkäufer wird.

PhantomCard wurde entwickelt, um NFC-Daten weiterzuleiten und so die betrügerische Verwendung von Kredit-/Debitkarten zu erleichtern. Der Trojaner ist speziell auf Nutzer in Brasilien zugeschnitten. Der Dienst „NFU Pay” kann jedoch Malware-Versionen für unterschiedliche Spezifikationen erstellen, und „Go1ano developer” gibt an, weltweit tätig zu sein. Daher könnte die PhantomCard-Kampagne ausgeweitet werden.

Übersicht über die PhantomCard-Malware

In der beobachteten Kampagne, die sich an brasilianische Nutzer richtete, infiltrierte PhantomCard Android-Geräte als Sicherheitsanwendung für Kredit-/Debitkarten. Die gefälschte App „Proteção Cartões” wurde über betrügerische Websites verbreitet, die den Google Play Store imitierten.

Im Gegensatz zu vielen anderen Android-spezifischen Schadprogrammen fordert diese Malware keine Vielzahl verdächtiger Berechtigungen vom Opfer an. PhantomCard (unter dem Deckmantel der Kartenschutz-App) fordert den Nutzer auf, seine Karte an die Rückseite des Smartphones zu halten, um den Verifizierungsprozess zu starten. Nach Abschluss dieses Schritts wird dies auf der nächsten Seite bestätigt und der Nutzer wird angewiesen, die Karte in der Nähe zu halten, bis die Authentifizierung abgeschlossen ist.

Während dieses vorgetäuschten Vorgangs bereitet PhantomCard die Übertragung von NFC-Daten (Near-Field Communication) an das Gerät des Angreifers vor; diese werden dann über einen von den Cyberkriminellen kontrollierten NFC-Relay-Server übertragen.

Auf dem folgenden Bildschirm wird das Opfer aufgefordert, die PIN-Nummer der Karte zur Überprüfung einzugeben. Nach Eingabe der PIN wird auf einer neuen Seite behauptet, dass die Karte überprüft und mit der Bank synchronisiert wird.

Durch diesen betrügerischen Vorgang erstellt der Trojaner einen Kanal zwischen der Karte des Opfers und dem Gerät des Angreifers, den dieser dann an einem Geldautomaten (Automated Teller Machine) nutzen kann, um Bargeld abzuheben, oder an einem Zahlungsterminal, kontaktlose Zahlungen durchzuführen. Da die Angreifer auch die PIN-Nummer erhalten, können sie alle Finanztransaktionen umgehen, für die dieser Code erforderlich wäre.

Es ist wichtig zu erwähnen, dass Malware-Entwickler ihre Software und Methoden in der Regel ständig verbessern. Daher könnten zukünftige Versionen von PhantomCard andere Tarnungen aufweisen oder zusätzliche/andere Funktionen und Merkmale haben.

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Schadsoftware wie PhantomCard auf Geräten zu schwerwiegenden Datenschutzproblemen und erheblichen finanziellen Verlusten führen kann.

Beispiele für Banking-Trojaner

Wir haben bereits über zahlreiche bösartige Programme berichtet, darunter DoubleTrouble, TsarBot, Marcher, Brokewell und Greenbean sind nur einige unserer neuesten Artikel über Banking-Trojaner, die auf Android-Geräte abzielen.

Malware ist ein weit gefasster Begriff, der Software mit einer Vielzahl von bösartigen Funktionen umfasst, die vom Extrahieren sensibler Daten bis hin zum Verschlüsseln von Daten reichen, um Lösegeld für die Entschlüsselung zu fordern (Ransomware). Unabhängig davon, wie Malware funktioniert, gefährdet ihre Präsenz jedoch die Sicherheit von Geräten und Benutzern. Daher müssen alle Bedrohungen sofort nach ihrer Erkennung beseitigt werden.

Wie ist PhantomCard auf mein Gerät gelangt?

In der bekannten PhantomCard-Kampagne wurde sie als Anwendung namens „Proteção Cartões” („Kartenschutz”) getarnt und richtete sich an Nutzer in Brasilien. Diese gefälschte App wurde über betrügerische Google Play-Websites verbreitet. Die entdeckten Nachahmer-Seiten waren überzeugend und enthielten gefälschte Bewertungen, in denen die Anwendung gelobt wurde.

Es muss jedoch erwähnt werden, dass PhantomCard unter verschiedenen Deckmänteln in Geräte eindringen und durch andere Methoden verbreitet werden kann. Im Allgemeinen sind Phishing und Social Engineering Standard bei der Verbreitung von Malware. Schädliche Programme werden in der Regel als normale Software/Medien getarnt oder mit diesen gebündelt.

Malware verbreitet sich in erster Linie über nicht vertrauenswürdige Download-Kanäle (z. B. Freeware- und kostenlose File-Hosting-Seiten, Peer-to-Peer-Netzwerke, App-Stores von Drittanbietern usw.), Drive-by-Downloads (heimliche/betrügerische Downloads), Malvertising, bösartige Anhänge/Links in Spam-Mails (z. B. E-Mails, Direktnachrichten/Private Nachrichten, SMS, Social-Media-Beiträge usw.), Online-Betrug, raubkopierte Inhalte, illegale Software-Aktivierungstools („Cracks“) und gefälschte Updates verbreitet.

Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Wie kann man die Installation von Malware vermeiden?

Vorsicht ist unerlässlich, um die Sicherheit von Geräten und Benutzern zu gewährleisten. Informieren Sie sich daher vor dem Herunterladen/Kaufen von Software immer gründlich, indem Sie die Bedingungen lesen, die erforderlichen Berechtigungen überprüfen und die Legitimität des Entwicklers überprüfen. Laden Sie Software nur von offiziellen und vertrauenswürdigen Kanälen herunter. Aktivieren und aktualisieren Sie Programme mit legitimen Funktionen/Tools, da solche von Drittanbietern Malware enthalten können.

Seien Sie außerdem beim Surfen im Internet wachsam, da es dort viele betrügerische und bösartige Inhalte gibt. Gehen Sie mit eingehenden E-Mails und anderen Nachrichten vorsichtig um; öffnen Sie keine Anhänge oder Links in verdächtigen E-Mails.

Es ist äußerst wichtig, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit Sicherheitssoftware müssen regelmäßig Systemscans durchgeführt und erkannte Bedrohungen entfernt werden.

PhantomCard fordert das Opfer auf, seine Karte zu tippen, um die Überprüfung zu starten:

Bildschirm, der nach Abschluss des ersten Schritts angezeigt wird:

PhantomCard fordert das Opfer auf, die PIN-Nummer seiner Karte einzugeben:

Gefälschter Verifizierungsprozess, der nach Eingabe der PIN angezeigt wird:

Darstellung einer gefälschten Google Play-Seite, die zur Werbung für PhantomCard verwendet wird:

Schnelles Menü:

• Einführung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
• Wie bootet man das Android-Gerät im "abgesicherten Modus"?
• Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
• Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
• Wie kann ich die neuesten Software-Updates installieren?
• Wie setzt man das System auf den Standardzustand zurück?
• Wie kann ich Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.

Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).

[Zurück zum Inhaltsverzeichnis]

Setzen Sie den Chrome-Webbrowser zurück:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".

Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".

Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".

[Zurück zum Inhaltsverzeichnis]

Setzen Sie den Firefox-Webbrowser zurück:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".

Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im "abgesicherten Modus":

Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).

Drücken Sie die "Power" Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.

Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.

Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.

[Zurück zum Inhaltsverzeichnis]

Setzen Sie das System auf den Standardzustand zurück:

Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".

Häufig gestellte Fragen (FAQ)

Mein Android-Gerät ist mit der Malware PhantomCard infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Das Entfernen von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die die Malware PhantomCard verursachen kann?

Die von einer Infektion ausgehenden Gefahren hängen von den Fähigkeiten der Malware und den Zielen der Angreifer ab. PhantomCard leitet die NFC-Daten der Opfer weiter, sodass die Angreifer deren Kredit-/Debitkarten an Geldautomaten und Zahlungsterminals verwenden können. Daher kann dieser Trojaner schwerwiegende Datenschutzprobleme und finanzielle Verluste verursachen.

Was ist der Zweck der Malware PhantomCard?

In den meisten Fällen wird Malware verwendet, um Einnahmen zu generieren, und PhantomCard bildet da keine Ausnahme. Schädliche Software kann jedoch auch zum Vergnügen von Cyberkriminellen oder zur Verwirklichung persönlicher Rachegelüste, zur Störung von Prozessen (z. B. Websites, Dienste, Unternehmen usw.), für Hacktivismus und für politisch/geopolitisch motivierte Angriffe verwendet werden.

Wie ist die PhantomCard-Malware auf mein Android-Gerät gelangt?

PhantomCard wurde unter dem Deckmantel der Anwendung „Proteção Cartões” über gefälschte Google Play Store-Seiten verbreitet. Andere Verbreitungsmethoden sind nicht unwahrscheinlich.

Malware verbreitet sich in erster Linie durch Drive-by-Downloads, Malvertising, Spam-Mails, Online-Betrug, verdächtige Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, P2P-Tauschbörsen, App-Stores von Drittanbietern usw.), illegale Software-Aktivierungstools („Cracks”) und gefälschte Updates. Einige Schadprogramme können sich sogar über lokale Netzwerke und Wechseldatenträger selbst verbreiten.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner ist in der Lage, praktisch alle bekannten Malware-Infektionen zu erkennen und zu entfernen. Beachten Sie, dass eine vollständige Systemprüfung unerlässlich ist, da sich ausgeklügelte Schadprogramme in der Regel tief im System verstecken.