Bank-Trojaner: Die größte mobile Gefahr

Moderne Smartphones sind voll ausgestattete Computer und viel leistungsvoller als Desktop-PCs vor zehn Jahren waren. Und deshalb enthält Ihr Gerät wahrscheinlich Daten, hinter denen Cyberkriminelle her sind.

Smartphones werden nach wie vor immer beliebter und über 50 Prozent der verwendeten Mobilgeräte sind heute Smartphones. Das führt auch zu einem Problem: mobile Bedrohungen. Während PC-Nutzer die Grundregeln der Sicherheit kennen, hält die Mehrheit der Smartphone-Nutzer Ihr Gerät noch immer für „nur ein Telefon“. Warum sollte man sich also schon um die Sicherheit kümmern?

Doch moderne Smartphones sind voll ausgestattete Computer und viel leistungsvoller als Desktop-PCs vor zehn Jahren waren. Und es sind gefährliche Computer. Während Ihre PC-Festplatte, abgesehen von ein paar alten Dokumenten und einer Menge Fotos vom letzten Urlaub, vielleicht nichts Wertvolles enthält, sind auf Ihrem Smartphone wahrscheinlich Daten gespeichert, die für Sie sehr wertvoll sind – aber eben auch für Cyberkriminelle.

Wenn Sie ein Smartphone haben, haben Sie wahrscheinlich auch eine Bankkarte. Da Banken die Handynummer für die Autorisierung verwenden (dabei werden Einmalpasswörter per SMS gesendet),  wollen Cyberkriminelle in diesen Kommunikationskanal eindringen, um selbst Zahlungen und Überweisungen von Ihrem Bankkonto ausführen zu können.

Daher wundert es nicht, dass Bank-Trojaner die größte mobile Bedrohung darstellen: Sie machen mehr als 95 Prozent der mobilen Schadprogramme aus. Über 98 Prozent der mobilen Bank-Angriffe zielen zudem auf Android-Geräte ab – ebenfalls nicht überraschend. Immerhin ist Android die beliebteste mobile Plattform der Welt (über 80 Prozent Markanteil bei Smartphones) und von allen beliebten mobilen Plattformen erlaubt Android auch noch das freie Installieren von Software.

Trojaner sind weniger gefährlich als Viren, da sie eine Aktion des Anwenders benötigen, um in das System eindringen zu können. Deshalb gibt es einige effektive Social-Engineering-Techniken, die die Anwender dazu bringen sollen, den Trojaner (der sich vielleicht als wichtiges Update oder Bonus-Level für ein bekanntes Spiel tarnt) zu installieren. Zudem gibt es eine Vielzahl von Exploits, die das Schadprogramm automatisch starten können, sobald der Anwender aus Versehen eine schädliche Datei öffnet.

Bank-Trojaner nutzen dabei drei Methoden:

  • Verstecken von Text: Schadprogramme auf Handys verstecken ankommende SMS-Nachrichten von Banken und schicken sie an die Kriminellen weiter, die damit dann Geld von Ihrem Konto abheben können.
  • Kleine Geldbewegungen: Cyberkriminelle überweisen relativ bescheidene Summen auf ihre eigenen Konten, um nicht so schnell aufzufallen.
  • App-Spiegelung: Schadprogramme imitieren mobile Apps von Banken, so dass die Anwender ihre Login-Daten für das Online-Banking in der gefälschten App eingeben und diese damit an die Kriminellen weitergeben. Anschließend führen die Schadprogramme die beiden oben genannten Aktionen aus.

Die Mehrheit der Bank-Trojaner (über 50 Prozent) operiert in Russland und den GUS-Staaten sowie in Indien und Vietnam. In letzter Zeit tritt zudem eine neue Generation universeller mobiler Schadprogramme auf. Diese können aktualisierte Profile verschiedener Banken aus den USA, Deutschland und Großbritannien herunterladen.

Der Großvater aller mobilen Bank-Trojaner ist Zeus, der auch Zitmo (Zeus-in-the-mobile) genannt wird. Er tauchte im Jahr 2010 auf (sein Vorläufer für den PC, der ebenfalls Zeus hieß, wurde im Jahr 2006 entwickelt). Dieses Schadprogramm schaffte es, alleine in den USA mehr als 3,5 Millionen Geräte zu infizieren und damit das größte bisher bekannte Botnetz aufzubauen.

Der Schädling speicherte Login-Daten, die der Anwender beim Online-Banking eingab und schickte sie an die Hintermänner, die sich damit in das Online-Banking des Opfers einloggen und eigene Überweisungen tätigen konnten (Zitmo konnte sogar die Zwei-Faktoren-Authentifizierung umgehen).

Mit Zeus schafften es die Betrüger auch, über 74.000 FTP-Passwörter von Webseiten (inklusive der Bank of America) zu stehlen und deren Code zu verändern, so dass sie bei jedem Zahlungsversuch die Kreditkartendaten stehlen konnten. Zeus war bis Ende 2013 äußerst aktiv, wurde dann aber von dem moderneren Schadprogramm Xtreme RAT verdrängt. Allerdings ist der Kernel von Zeus bei Virenautoren nach wie vor sehr beliebt.

Im Jahr 2011 tauchte dann SpyEye auf, einer der erfolgreichsten Bank-Trojaner aller Zeiten. Alexander Panin, sein Programmierer, verkaufte den Code auf dem Schwarzmarkt für 1.000 bis 8.500 Dollar. Laut FBI-Angaben kauften 150 Cyberkriminelle den Trojaner und modifizierten ihn, um Geld von verschiedenen Banken zu stehlen. Einer der Betrüger schaffte es, in nur sechs Monaten über 3,2 Millionen Dollar zu stehlen.

Im Jahr 2012 wurde ein weiterer Trojaner entdeckt: Carberp. Der Schädling imitierte Android-Apps der russischen Banken Sberbank und Alfa Bank. Er zielte auf Anwender in Russland, Weißrussland, Kasachstan, Moldawien und der Ukraine ab. Interessanterweise schafften es die Täter, ihre gefälschten Apps auf Google Play zu veröffentlichen.

Die Carberp-Gruppe bestand aus 28 Tätern, die bei einer gemeinsamen Aktion der russischen und ukrainischen Strafverfolgungsbehörden verhaften wurden. Allerdings wurde der Quellcode von Carberp im Jahr 2013 veröffentlicht, so dass nun jeder eigene Schadprogramme mit diesem Code erstellen konnte. Und während Carberp für die früheren sowjetischen Länder programmiert worden war, tauchten seine Klone rund um die Welt auf.

Im Jahr 2013 suchte sich dann Hesperbot neue Opfer. Das Schadprogramm stammte aus der Türkei und verteilte sich über Portugal und die Tschechische Republik weltweit. Neben dem üblichen Ärger, den er mit sich brachte, erstellte der Trojaner auch einen versteckten VNC-Server auf dem Smartphone, der dem Angreifer Zugriff auf das Remote-Gerätemanagement gab. Auch wenn der Trojaner verschwindet, bleibt der Remote-Zugriff bestehen und erlaubt es den Tätern, alle Nachrichten zu lesen, und gibt ihnen weitere Möglichkeiten zur Installation von Schadprogrammen. Zudem fungierte Hesperbot nicht nur als Bank-Trojaner, sondern auch als Bitcoin-Dieb. Hesperbot wird über Phishing-Kampagnen verteilt, die E-Mail-Dienste imitieren.

Im Jahr 2014 wurde der Quellcode von Android.iBanking veröffentlicht. iBanking ist ein End-to-End-Kit für das Stehlen von SMS-Nachrichten und das Remote-Gerätemanagement. Auf dem Schwarzmarkt kostete das Kit bis zu 5.000 Dollar. Der Veröffentlichung des Codes folgten zahlreiche Infizierungen.

Das Kit enthält schädlichen Code, der legitime Bank-Apps ersetzt (wobei die Original-App voll funktionsfähig bleibt und nur mit weiteren Funktionen modifiziert wird), sowie ein Windows-Programm mit praktischer Oberfläche, die alle befallenen Smartphones kontrollieren kann und deren Liste der Smartphones automatisch mit neuen Opfern aktualisiert wird.

https://twitter.com/RafatiSiavash/status/551525576540844032

Faszinierend ist, dass die kostenpflichtige Premiumversion des Kits populärer ist als die ebenfalls erhältliche kostenlose Variante. Die Nutzer der Premiumversion bekommen regelmäßige Updates und Support. Bis zum Ende des Jahres wurden zwei weitere Trojaner auf Google Play entdeckt, die für den brasilianischen Markt entwickelt worden waren, allerdings ohne spezielle Programmierkenntnisse: Sie basierten komplett auf dem universalen Kit.

Brasilien ist für Bank-Angriffe eine spezielle Region. Das kann man durch die Popularität des mobilen Zahlungssystems Boleto erklären. Damit können die Kunden Geld über virtuelle Schecks mit einzigartiger Zahlungs-ID an andere Personen transferieren. Die ID wird auf dem Display in einen Strichcode umgewandelt und vom Empfänger mit dem Handy eingescannt.

Spezielle Trojaner, die auf Boleto-Nutzer abzielen (zum Beispiel Infostealer.Boleteiro), stehlen die generierten Schecks sobald sie im Browser landen und modifizieren sie so, dass sie an den Angreifer geschickt werden.

Zudem überwacht der Trojaner die ID-Eingabe in das Boleto-System auf Webseiten und in Bank-Apps (bei der Kontoauffüllung im System) und tauscht heimlich die legitime ID mit einer gefälschten ID aus.

Ein weiterer Trojaner wurde im Juni 2015 in Russland entdeckt: Android.Bankbot.65.Origin tarnt sich als gepatchte Sberbank-Online-App und bietet „erweiterte Mobile-Banking-Funktionen“, die nach der Installation der „neueren Version“ zur Verfügung stehen. Die echte App blieb dabei voll funktionsfähig, so dass die Anwender den Austausch gar nicht bemerkten. Dadurch entstand im Juli 2015 ein Schaden von über zwei Milliarden Rubel für 100.000 Sberbank-Kunden.

Und natürlich hört die Entwicklung damit nicht auf: Immer mehr neue Apps werden entwickelt und die Angreifer haben immer effektivere Techniken, um sorglose Anwender in ihre Fallen zu locken. Es ist also Zeit, dass Sie Ihr Smartphone zuverlässig schützen.

Tipps