Android-Trojaner fängt TAN-Codes ab

  • Die Trojaner-Infektion gelingt nur unter kräftiger Mithilfe des Smartphone-Users.
    foto: starfish75 @ sxc.hu

    Die Trojaner-Infektion gelingt nur unter kräftiger Mithilfe des Smartphone-Users.

Angriffs-Verfahren erstmals in freier Wildbahn - User als Sicherheitslücke

Cyberkriminelle haben einen Weg gefunden, die Bankkonten von Smartphone-Besitzern leerzuräumen. Das berichtet die Berliner Polizei. Das Verfahren ist seit 2011 bekannt, nun wurde es erstmals in freier Wildbahn beobachtet.

Es zielt auf Kunden, die zur Bestätigung von E-Banking-Transaktionen per SMS zugeschickte TAN-Codes (genannt SMS-TAN bzw. mTAN) nutzen.

Per Browser-Pop-up...

Zuerst wird sein eigentlicher Computer mit Malware kompromittiert, über welche die Login-Daten seines Online-Banking-Accounts und seine Kontodaten ausgespäht werden. In weiterer Folge wird er über ein gefälschtes Popup, das sich als Hinweis der Bank tarnt, an ein vermeintliches Sicherheitsupdate für sein Telefon erinnert.

...zur Handy-Malware

An dieser Stelle gibt der Nutzer sein Handymodell sowie seine Telefonnummer an. Anschließend erhält er eine SMS mit einem Downloadlink für das Update, über welches sein Gerät mit einem Trojaner infiziert wird. Dieser vervollständigt den Zugriff der Täter, in dem er von ihnen angeforderte TANs an sie weiterleitet. Mittlerweile solle auf diese Weise mehrere Konten geleert und auch Dispokredite aufgebraucht worden sein.

Schwachstelle User

Um den Angreifern zum Erfolg zu verhelfen, muss der Nutzer allerdings auch selber einiges falsch machen. So verringert die Installation aktueller Antivirensoftware die Wahrscheinlichkeit einer Malware-Infektion des Ausgangsrechners als auch des Smartphones bereits erheblich.

Zudem ist es, ähnlich wie bei Phishing-E-Mails, nicht ratsam, persönliche Daten in verdächtige Formulare einzutippen, zumal die Bekanntgabe eines Software-Updates für ein Smartphone per Browser-Pop-up wachsam machen sollte. Entsprechend rät die Berliner Polizei, im Zweifelsfalle bei der Bank nachzufragen, ob diese Aufforderung tatsächlich echt ist.

Weiters muss der Nutzer zur Einpflegung des vermeintlichen Updates zuerst in den Android-Einstellungen die Installation von Drittsoftware extra freischalten und die umfassenden Rechte des Programms abnicken. (red, derStandard.at, 14.11.2012)

Share if you care