Drucken
15.07.2011, 09:25 Uhr | Andreas Lerg
Google entfernt dutzende gefährliche Android-Apps aus seinem Android Market. (Foto: imago) (Quelle: imago)
Vorsicht beim Online-Banking via Android-Smartphone: Online-Kriminelle haben eine neue Variante des berüchtigten Zeus-Trojaners entwickelt, der speziell auf das Handy-Betriebssystem von Google zugeschnitten ist. Der Schädling fängt die beim mTAN-Verfahren genutzten SMS ab – damit können die Gangster Geld von den Konten ihrer Opfer stehlen. Damit ist die vermeintliche Sicherheit des Online-Banking-Verfahrens in Frage gestellt.
Die Kriminellen, die hinter dem gefährlichen Zeus-Trojaner und dem gleichnamigen Botnetz stecken, haben eine neue Variante des Schädlings entwickelt, die speziell auf das Google-Betriebssystem Android angepasst ist. Damit können von mobilen Geräten wie Smartphones und Tablet-Computern geheime Online-Banking-Daten gestohlen werden. Der Zeus-Trojaner ist auf diese Art des virtuellen Bankraubs spezialisiert und galt bislang als große Gefahr für die Nutzer gewöhnlicher PC.
Die Angreifer nutzen zwei verschiedene Infektionswege, um ein Android-Handy mit dem Zeus-Trojaner zu infizieren. Zum einen werden verseuchte Anwendungen in den Android-Market geschleust, die den Trojaner einschmuggeln. Außerdem wird im Internet eine vermeintliche Sicherheitssoftware namens "Trusteer Rapport" angeboten. Diese soll angeblich Online-Banking auf dem Smartphone sicherer machen. Doch auch in dieser Android-App schlummert der gefährliche Trojaner.
Wie sicher sind iTAN, mTan und chipTAN? zum Video
Nachdem der Trojaner sich eingenistet hat, belauscht er alle eingehenden SMS-Textnachrichten und leitet diese sofort an einen externen Server weiter. Ziel ist das Abfangen von mTANs. Mit einer solchen mobilen Transaktionsnummer werden beim Online-Banking Überweisungen oder andere Transaktionen authentifiziert. Die Bank schickt dazu eine mTAN per SMS an das Smartphone. Fangen die Online-Kriminellen diese über den Zeus-Trojaner ab, können sie selbst damit eine räuberische Transaktion durchführen und Geld vom Konto des Opfers stehlen. Eine detaillierten Report über die Funktionsweise der Trojaners haben Experten des Sicherheitsdienstleisters Kaspersky erstellt.
Doch mit der erbeuteten mTAN allein können die Online-Kriminellen noch nichts anfangen, denn sie brauchen auch den Zugang zum Konto des Opfers. Auch das haben die Angreifer berücksichtig. Die verseuchte Trusteer-App erzeugt einen angeblichen Aktivierungscode, den der Nutzer dann auf der dazugehörigen Internetseite eingeben soll. Tut er das, können die Angreifer damit den Computer identifizieren, der dem infizierten Smartphone zuzuordnen ist. Dann wird dieser PC ebenfalls angegriffen, damit sich die Kriminellen in die Online-Verbindung zur Bank einklinken können. Nur so kann beim Online-Banking das mTAN-Verfahren geknackt werden. Wie der Sicherheitsdienstleister Kaspersky festgestellt hat, traten die ersten Angriffe nach diesem Muster bereits Anfang Juni auf.
Was die neuen "Super-Handys" können und worauf es beim Kauf ankommt. zum Video
Dass Smartphones für Online-Kriminelle immer attraktivere Ziele werden, hat zwei Gründe. Zum einen gibt es für den heimischen Computer immer bessere Abwehrmaßnahmen gegen den Zeus-Trojaner und das dazugehörige Botnetz. Aber Smartphone-Nutzer glauben bisher, dass mobile Geräte nicht gefährdet sind und nutzen diese sorgloser als den heimischen Computer. Hauptgrund aber ist, dass immer mehr Banken aus Sicherheitsgründen vom unsicheren TAN-Verfahren - TAN-Listen kommen per Post und die TAN wird am Computer über die Tastatur eingegeben - zum sichereren mTAN-Verfahren wechseln. Deshalb passen sich die Online-Kriminellen an und wollen die per SMS verschickten mTANs abfangen. Google macht es den Angreifern leicht, da Android-Apps ohne Prüfung in den Android-Market aufgenommen werden. Da Apple jede App prüft, bevor diese für den Apple AppStore freigegeben wird, ist es für die Angreifer schwieriger das iPhone zu infizieren. Das bedeutet aber nicht, dass es unmöglich ist.
Andreas Lerg
(92)
eagl schrieb:
am 17. Juli 2011 um 09:34:45
(0) 
(0)
Bank
Heult doch net rum alle sind froh wenn man seine geschäfte von zu hause aus machen kann! immer meckern aber ales haben wollen.
Kommentar melden
Bärchen schrieb:
am 16. Juli 2011 um 12:55:17
(0) (0)
An Alle
So ist das nun mal mit dem Preis des Fortschritts! Da ich nun mal NICHT den Gang zur Bank scheue um meine Geschäfte zu tätigen,
kann mir soetwas aber auch kaum passieren! Steinzeit läßt schön grüßen!!! ;-)
mehr
Kommentar melden
Wahrsager schrieb:
am 15. Juli 2011 um 22:06:21
(0) (0)
@Wissender
Dem muss ich energisch widersprechen! GESUNDER MENSCHENVERSTAND ist das Wichtigste, wenn man Internet-Banking betreiben will.
Alles andere ist schmückendes, gelegentlich auch nützliches Beiwerk. I-Banking ist mit Anti-Viren-PRG ist im ersten Gang genauso sicher wie ohne. Bisher wurden immer Methoden angewandt, die aktive Mithilfe des DAUs vorm Schirm bedurften: entweder aktives Wegschenken von PIN+TAN oder aktives Installieren von Schadsoftware. Und gegen Dummheit/Naivität hilft kein Anti-Vir!
mehr
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Die neue Frühlingskollektion von Topmarken: tolle Schuhe, Mode u.v.m. - Versand gratis. mehr
Extravagante und schicke Damen-
mode für die neue Saison: jetzt online bestellen. von WENZ
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
