Die vier großen Bank-Trojaner

Bedrohungen

Bank-Trojaner sind wie Ratten – man vertreibt sie und sechs davon laufen in jede mögliche Richtung weg. Über die meisten davon liest man einmal etwas, und dann nie wieder. Doch es gibt vier große Varianten dieser Art, die niemals zu verschwinden scheinen: Carberp, Citadel, SpyEyeund vor allem Zeus.

Trojan_4Das Problem dabei, diese Schädlinge Bank-Trojaner zu nennen ist, dass wir sie manchmal dabei erwischen, wie sie andere böse Dinge tun, die mit dem Diebstahl von Finanzinformationen nichts zu tun haben. In der zwielichtigen Unterwelt der Cyberkriminalität ist alles recht undurchsichtig. Doch davon abgesehen, stellt jedes dieser Schadprogramme ein echtes Problem dar: Sie sind verdammt gut darin, Informationen zum Online-Banking und andere Bankdaten zu stehlen. Es ist schwer, einen interessanten Artikel über eine Handvoll verschiedener Bank-Trojaner zu schreiben, da sie im Grunde alle das gleiche machen. Aber dennoch möchten wir heute die vier am weitesten verbreiteten Vertreter dieser Gattung vorstellen – aufsteigend sortiert nach ihrer traurigen Berühmtheit:

Carberp

Die Originalversion von Carberp war so etwas wie ein typischer Trojaner. Er wurde entwickelt, um vertrauliche Daten von den Anwendern zu stehlen, etwa Logins zum Online-Banking oder Nutzernamen und Passwörter für andere wertvolle Seiten. Carberp hat die gestohlenen Informationen an einen Command-and-Control-Server (C&C) übertragen, den seine Entwickler kontrollierten. Ganz einfach und direkt. Die einzig knifflige Komponente war die komplizierte Rootkit-Funktionalität, die es dem Trojaner erlaubte, auf den Opfer-Computern unentdeckt zu bleiben. Die nächste Generation von Carberp enthielt dann auch Plugins: eines löschte Antiviren-Programme von infizierten Computern, ein anderes versuchte, andere Schadprogramme darauf auszuschalten.

Das Ganze wurde richtig interessant, als die Entwickler ihrem Trojaner die Fähigkeit gaben, die gestohlenen Daten für die Übertragung an den C&C-Server zu verschlüsseln. Laut Sicherheitsforschern war dies das erste Mal, dass ein Schadprogramm einen zufällig erzeugten Schlüssel verwendete, anstatt eines statischen Schlüssels.

Und mittendrin begann Carberp, mit dem verrufenen Blackhole-Exploit-Kit zusammenzuarbeiten, was zu einer Flut von Infizierungen führte. Für Carberp und seine Schöpfer lief alles gut. Sie hatten es sogar geschafft, ein Carberp-Modul auf Facebook zu entwickeln, das die Anwender mit einer Art Erpressungs-Betrug dazu bringen sollte, e-cash-Gutscheine an die Kriminellen zu schicken.

Laut Sicherheitsforschern war dies das erste Mal, dass ein Schadprogramm einen zufällig erzeugten Schlüssel verwendete, anstatt eines statischen Schlüssels.

Von da an ging es ein bisschen abwärts. Russische Behörden nahmen acht Männer fest, von denen angenommen wurde, dass sie zu den Verantwortlichen hinter dem Schadprogramm gehören, doch Carberp verschwand trotzdem nicht. Seitdem, gab es zahlreiche Sabotage-Versuche und Festnahmen. Kriminelle, die das Schadprogramm verwenden wollten, mussten bis zu 40.000 Dollar für den Zugriff darauf zahlen, bis im letzten Jahr dessen Quellcode veröffentlicht wurde, so dass jeder, der sich etwas damit auskennt, den Trojaner nutzen konnte.

Citadel

Der Citadel-Trojaner ist eine Variante von Zeus, dem König der Finanz-Schadprogramme. Er erschien zusammen mit einigen anderen einmaligen Trojanern, nachdem der Quellcode des Zeus-Trojaners im Jahr 2011 veröffentlicht wurde. Dass Citadel hier erwähnt wird, hat vor allem mit der neuartigen Anpassung des Open-Source-Entwicklungsmodells durch seine Schöpfer zu tun, wodurch jeder den Code des Schädlings einsehen und verbessern (oder verschlechtern) konnte.

Die Gruppe oder Gruppen, die für Citadel verantwortlich sind, haben eine weltweite Gemeinschaft von Kunden und Mitwirkenden aufgebaut, die neue Funktionen für den Schädling vorschlagen, am Programm arbeiten und Module als Teil eines kriminellen Sozialen Netzwerks verbreiten. Zu den faszinierendsten Fähigkeiten von Carberp gehört die AES-Verschlüsselung von Konfigurationsdateien und der Kommunikation mit dem C&C-Server, die Möglichkeit, Tracking-Seiten zu vermeiden, die Fähigkeit, auf infizierten Computern den Zugriff auf Security-Seiten zu blockieren, sowie eine Funktion, die Videos derAktionen des Anwenders aufnehmen kann.

Das Netzwerk der Citadel-Mitwirkenden fügte weiterhin neue und dynamischere Funktionen hinzu, die den Trojaner anpassungsfähiger und schneller machten, bis er für Cyberkriminelle so nützlich wurde, dass sie ihn für alle möglichen Arten von Datendiebstahl einsetzten. Citadel war enorm erfolgreich, bis Microsoft und eine Koalition anderer Firmen eine Operation starteten, die letztendlich etwa 88 Prozent seiner Infizierungen entdeckte und ausschaltete.

SpyEye

Der SpyEye-Trojaner sollte zum großen Konkurrenten des Bank-Trojaners Zeus werden. Doch am Ende ging es SpyEye so wie den vielen Erben von Michael Jordan. Sie wurden hochgelobt und hatten Potenzial, doch sie konnten den König nicht entmachten. Zeus ist ohne Zweifel nach wie vor der König, doch SpyEye erzeugte einen (recht schnell abebbenden) Rummel.

An einem Punkt verbündete sich das SpyEye-Botnetz mit Zeus zu einem Mega-Bank-Botnetz, doch das ist schließlich ausgebrannt, ohne den ganzen Rummel zu rechtfertigen. Allerdings konnte es auch Erfolge verbuchen. So wurde mit SpyEye die Online-Rechnungs-Seite von Verizon angegriffen, um die vertraulichen Daten der Anwender sowie deren Zahlungsdaten zu stehlen. Dieser Angriff wurde eine Woche lang nicht entdeckt. SpyEye tauchte auch bei Amazons Simple Storage Service auf, und missbrauchte den Cloud-Service als Plattform für Angriffe. Und auch auf Android-Geräten war der Schädling aktiv, doch einige Festnahmen und vielleicht auch die schlechte Effektivität beendeten den Erfolg von SpyEye.

Drei baltische Männer wurden im Sommer 2012 verhaftet, da sie SpyEye verwendeten, um Bankdaten zu stehlen. Im Mai dieses Jahres wurde in Thailand ein mutmaßlicher Entwickler von SpyEye festgenommen und an die USA ausgeliefert, wo ihm mehr als 30 Fälle von Botnetz- und Bank-Betrug vorgeworfen werden. Seitdem haben wir nicht mehr viel von SpyEye gehört.

Zeus

Und dann kam Zeus. Passenderweise nach dem König der griechischen Götter benannt, ist Zeus in seinem Ausmaß, seiner Nutzung und seiner Effektivität unerreicht. Seit sein Quellcode im Jahr 2011 durchgesickert ist, scheint fast jeder Bank-Trojaner Teile von Zeus zu enthalten. Doch nur Zeus ist berüchtigt genug, eine eigene Wikipedia-Seite zu haben. Auf Threatpost gibt es 22 Seiten, jede mit zehn Geschichten, die den Zeus-Trojaner erwähnen. Über die Machenschaften von Zeus könnte man einen Roman in der Länge der Werke von Leo Tolstoy oder Marcel Proust schreiben, also ist es fast unmöglich, diese Bedrohung hier kurz zusammenzufassen, aber wir können dennoch einige Höhepunkte erwähnen.

Erschienen ist Zeus im Jahr 2007, nachdem er in einem Angriff auf das United States Department of Transportation verwendet wurde, um Zugangsdaten zu stehlen. Seit damals hat Zeus Zig-Millionen Computer infiziert und war am Diebstahl von Hunderten von Millionen Dollar beteiligt. Bis sich seine Schöpfer im Jahr 2011 zurückgezogen und den Quellcode der Schadsoftware im Internet veröffentlicht haben. Viele Personen waren oder sind noch im Gefängnis, da sie an Betrügereien mit Zeus beteiligt waren.

Zeus gehörte zu den ersten Schadprogrammen, die über eine Lizenz verkauft wurden. Bis sein Quellcode veröffentlicht wurde, war Zeus die Geißel von Banken und Unternehmen. Die Liste der Opfer ist zu lang, um sie hier zu veröffentlichen – sie enthält bekannte Banken, Firmen und Regierungsorganisationen.Zeus ist auch bekannt für seine innovative Nutzung des „kleinen mobilen Bruders“ namens ZitMo, mit dem Zwei-Faktoren-Authentifizierungen umgangen werden können, bei denen ein Sicherheitscode per SMS übertragen wird. SpyEye und Carberphaben danach ebenfalls eigene mobile Gegenstücke entwickelt. Im Grunde kann man sagen, dass der Zeus-Trojaner zu den schlimmsten aller Schadprogramme gehört, vielleicht gleich hinter Stuxnet.

Schutz

Jedes Schadprogramm dieser „Großen Vier“ hat die gleichen grundlegenden Eigenschaften: Es versucht, die Entdeckung durch ein Antiviren-Programm zu verhindern, schneidet Tastatureingaben, gespeicherte Daten und Informationen im Browser mit,  und stiehlt alles, das dabei helfen kann, in Ihr Bankkonto einzubrechen und illegale Überweisungen zu tätigen. Sie versuchen sogar, mobile Schadprogramme auf Ihrem Smartphone zu installieren, die es möglich machen, einmalige Sicherheitscodes zu stehlen, die heute von vielen Banken für die Freigabe von Überweisungen genutzt werden. Unter allen Schadprogrammen stellen Bank-Trojaner die größte Gefahr für Ihr Geld dar, deshalb müssen moderne Schutzprogramme spezielle Module zum Schutz vor Bank-Trojanern enthalten. Kaspersky Lab hat solche Module in der Technologie für den Sicheren Zahlungsverkehr zusammengefasst,der in den aktuellen Versionen von Kaspersky Internet Security Multi-Device, Kaspersky Internet Security und Kaspersky PURE Total Security enthalten ist. Übrigens haben wir auch einen Tipp, wie Sie den Sicheren Zahlungsverkehr einrichten können.