Android-Trojaner fängt TAN-Codes ab

  • Die Trojaner-Infektion gelingt nur unter kräftiger Mithilfe des Smartphone-Users.
    foto: starfish75 @ sxc.hu

    Die Trojaner-Infektion gelingt nur unter kräftiger Mithilfe des Smartphone-Users.

Angriffs-Verfahren erstmals in freier Wildbahn - User als Sicherheitslücke

Cyberkriminelle haben einen Weg gefunden, die Bankkonten von Smartphone-Besitzern leerzuräumen. Das berichtet die Berliner Polizei. Das Verfahren ist seit 2011 bekannt, nun wurde es erstmals in freier Wildbahn beobachtet.

Es zielt auf Kunden, die zur Bestätigung von E-Banking-Transaktionen per SMS zugeschickte TAN-Codes (genannt SMS-TAN bzw. mTAN) nutzen.

Per Browser-Pop-up...

Zuerst wird sein eigentlicher Computer mit Malware kompromittiert, über welche die Login-Daten seines Online-Banking-Accounts und seine Kontodaten ausgespäht werden. In weiterer Folge wird er über ein gefälschtes Popup, das sich als Hinweis der Bank tarnt, an ein vermeintliches Sicherheitsupdate für sein Telefon erinnert.

...zur Handy-Malware

An dieser Stelle gibt der Nutzer sein Handymodell sowie seine Telefonnummer an. Anschließend erhält er eine SMS mit einem Downloadlink für das Update, über welches sein Gerät mit einem Trojaner infiziert wird. Dieser vervollständigt den Zugriff der Täter, in dem er von ihnen angeforderte TANs an sie weiterleitet. Mittlerweile solle auf diese Weise mehrere Konten geleert und auch Dispokredite aufgebraucht worden sein.

Schwachstelle User

Um den Angreifern zum Erfolg zu verhelfen, muss der Nutzer allerdings auch selber einiges falsch machen. So verringert die Installation aktueller Antivirensoftware die Wahrscheinlichkeit einer Malware-Infektion des Ausgangsrechners als auch des Smartphones bereits erheblich.

Zudem ist es, ähnlich wie bei Phishing-E-Mails, nicht ratsam, persönliche Daten in verdächtige Formulare einzutippen, zumal die Bekanntgabe eines Software-Updates für ein Smartphone per Browser-Pop-up wachsam machen sollte. Entsprechend rät die Berliner Polizei, im Zweifelsfalle bei der Bank nachzufragen, ob diese Aufforderung tatsächlich echt ist.

Weiters muss der Nutzer zur Einpflegung des vermeintlichen Updates zuerst in den Android-Einstellungen die Installation von Drittsoftware extra freischalten und die umfassenden Rechte des Programms abnicken. (red, derStandard.at, 14.11.2012)

Share if you care
Posting 1 bis 25 von 69
1 2
das ist aber schon lange kein trojaner angriff ...

... sondern social engineering, http://en.wikipedia.org/wiki/Soci... (security)

dass dafür software verwendet wird, statt einfach anzurufen und sich als bank auszugeben um PIN und TAN zu erfragen hat wohl eher mit personal aufwand als mit sicherheitslücken zu tun..

es geht um den sms tan....

also, wie blöd muss man eigentlich sein, dass das wirklich funktioniert.
1. Man hat mutwillig Updates auf dem Windows-Rechner ausgeschaltet. (Steht zwar nirgends oben, aber üblicherweise sind das Lücken, die schon länger offen sind).
2. Viren- / Malware-Scanner: Häh? Wozu?
3. Ein pop-up geht auf, während ich bei Telebanking online bin und fragt nach der Telefonnummer:
Wozu? Damit die TAN funktioniert hat die Bank die Nummer schon! Egal, Unverdächtig.
4. Ich kriege ein SMS und lade mir Software auf's Handy herunter
a) Wozu? Das Handy tut dabei ja gar nix!
b) Die Installation von 3.-Hersteller-Software mutwillig aktiviert, ist default auf "aus" (glaub ich).

Unpackbar eigentlich, dass so etwas wirklich reingeht!

@Kris99

Im Prinzip hast du mit deiner Kritik recht.
Allerdings enthält deine Aussage ein paar Fehler:

> 1. Man hat mutwillig Updates auf dem Windows-
> Rechner ausgeschaltet.
Das muß nicht der Fall sein.
Es gibt genügend "Drive-by" Exploits, welche u.a. Browser-Plugins ausnutzen, welche - bis auf Windows 8 - nicht über das Windows-Update aktualisiert werden.

> b) Die Installation von 3.-Hersteller-Software
> mutwillig aktiviert, ist default auf "aus" (glaub
> ich).

Das wäre von einem "Otto-Normal-DAU-User" zuviel verlangt.
Üblicherweise wird von dem Trojaner neben Handymodell + Handynummer auch die IMEI erfragt, da damit das vermeintliche "Update" signiert wird und dadurch eine Ausführung ohne Rückfrage bzw. Zusatzrechten erfolgt.

gar nicht blöd..

Du übersiehst, daß es für Menschen die andere Hobbies als Technik und Computer haben offenbar sehr leicht ist auf solche Dinge reinzufallen. Es ist und bleibt aber die Verantwortung der Softwareindustrie wenn sie Systeme anbietet die dermaßen leicht zu manipulieren sind, daran ist nicht der User schuld, sondern eine naive und von Profitgier geprägte Industrie verantwortlich die dauernd Dinge anbietet die von ihrem Design absolut unsicher sind. Die Gesellschaft besteht nicht nur aus Leuten die den ganzen Tag mit solchem Zeug zu tun haben, deine Arroganz diesbezüglich ist ziemlich zum kotzen, eigentlich ist allein die Tatsache daß man einen Virenscanner braucht schon ein OS und Software-Fehldesign, so schaut's aus.

genau und wenn der nächste mit hundert sachen im ortsgebiet voll besoffen einen unfall baut ist wer schuld? genau der profitgeile autohersteller.

Nein, der der den Baum gepflanzt (etc.) hat :-)

"Schwachstelle User

Um den Angreifern zum Erfolg zu verhelfen, muss der Nutzer allerdings auch selber einiges falsch machen. So verringert die Installation aktueller Antivirensoftware die Wahrscheinlichkeit einer Malware-Infektion des Ausgangsrechners als auch des Smartphones bereits erheblich."

Alles Klar ;)

@°°--°°

> ... verringert die Installation aktueller
> Antivirensoftware die Wahrscheinlichkeit ...

Virenscanner gehören zwar zum Standard und sind sinnvoll, doch bleibt dennoch ein erhebliches Restrisiko.
Klar, denn diese kennen schließlich nur bereits bekannte Malware und können höchstens mittels Heuristik Unbekanntes zu einem geringen Teil erkennen.
Sonst ist es das bekannte "Hase und Igel"-Spiel:
Genauso, wie Anwender (fragwürdige) Programme auf ~40 Virenscannern testen lassen können wird dies von den Virenschreibern umgekehrt nach minimaler Codeänderungen gemacht, damit diese von möglichst vielen Virenscannern nicht (mehr) erkannt werden.

Tja die Welt muss sich drehen, tut sie bei einer Produktgruppe nicht so muss dem geholfen werden.

Alles eine Frage der Information.

Ausserdem, Handynummer in irgendwelche Pop-up Fenster anzugeben, ist eigentlich schon einen facepalm wert.

Liebe Red., ich glaube hier ist die Bezeichnung “Trojaner“ gar nicht angebracht.

Das nämlich kein trojanisches Pferd mehr, das ist die Einladung zum Essen für die Griechen vor Troja...

Diese Kombination aus Halbwissen (explizites gestatten von Drittherstellersoftware) und Ignoranz (Update über SMS-Link(!) und Zulassen dubiosester Rechte für das angebliche Update) ist ja nicht mehr schön.

Wie hat mein Physikprofessor gesagt?

“Die gefährlichsten sind sie Halbgebildeten - intelligent genug, um den Schutzschalter der Mikrowelle außer Kraft zu setzen, und dumm genug, den Kopf reinzustecken...“

Das ist kein wirkliches Problem.

Das Problem beginnt dort, wo online banking apps verwendet werden. Denn dann ist der eigentlich unabhängige TAC SMS Kanal nicht mehr unabhängig und ein Angreifer, der Kontrolle über das Telefon erhält, hat dann wirklich alles beieinander.

Auch die Synchronisation des Smartphones mit dem Computer auf dem Internetbanking gemacht wird, ist schon ein Risiko.

und wieder ein grund für mich onlinebanking zu meiden.

es ist einfach angreifbar.

trollig

wenn Sie selbst

nach dem lesen des letzten Absatzes, immer noch nicht verstehen, was die tatsächliche Sicherheitslücke ist - dann haben Sie recht - dann ist Online-Banking wirklich nichts für Sie!

Bei dem Szenario ist aber nicht das Online-Banking schuld

Bei dem beschriebenem Szenario muss aber der User schon sehr viel "mithelfen" damit der Angriff über Browser und Handy des Users funktioniert.
Das wäre vergleichbar mit folgendem Real-Life-Szenario:
Sie werden auf der Straße von einer fremden Person angesprochen. Sie bittet Sie Ihre Brieftasche zu geben, weil sie prüfen möchte ob die Geldschein in Ihrer Tasche mit denen in seiner vergleichbar sind. Zum prüfen muss er sich aus Sicherheitsgründen natürlich umdrehen. Er entwendet Ihnen das ganze Geld aus der Brieftasche dreht sich wieder um und gibt Ihnen die Brieftasche zurück mit den Worten: Ja passt die Scheinen sind die gleichen, Vielen Dank.
Ihre Wege trennen sich. Erst zu Hause bemerken Sie das fehlende Geld.

Hirn einschalten wäre hilfreicher

hilft beim Überleben im Straßenverkehr, wie auch beim Online-Banking.

Es gibt einfach viel zu viele DAUs.

Das hat zumeist wenig mit Dummheit oder Intelligenz zu tun, sondern im Umgang mit Informationstechnologien gebildet oder nicht. Und das variiert momentan sehr stark durch die Altersschichten, Berufsgruppen, etc.
"DAU"s können durchaus auch hochgebildete Personen (in anderen Fachbereichen) sein, die sich lediglich mit der IT(-Security) überhaupt nicht auseinander gesetzt haben.

Dann wird der User aufgefordert, den TAN

auf einen Papierzettel zu notieren und diesen an der Haustür zu besfestigen, damit das Kundenservice der Bank ihn über Nacht abholen kann...

Echt toll das bastlersystem

artikel gelesen und verstanden auch??

gelesen vielleicht...

verstanden nicht. Er installiert sicher gerade dieses Update auf seinem iOS.

updates für apps kommen NUR aus dem app store und nicht von irgendwelchen russischen quellen.

Posting 1 bis 25 von 69
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.