18 Aug 2017

Taxi-Trojaner sind auf dem Weg

Malware Nachrichten

Sie haben es eilig und müssen schnellstens zur Arbeit, zu einem Geschäftsmeeting oder einem Date. Was tun? Sie öffnen Ihre Lieblingsapp, um ein Taxi zu bestellen. Eigentlich wie immer, nur dass dieses Mal von Ihnen verlangt wird, Ihre Kreditkartennummer anzugeben. Klingt verdächtig? Vielleicht nicht – schließlich können auch Apps Informationen vergessen und Sie deshalb darum bitten Ihre Karteninformationen erneut einzugeben.

Doch nach einem geraumen Zeitraum bemerken Sie, dass plötzlich Geld auf Ihrem Konto fehlt. Was ist passiert? Sie könnten der unglückliche Gewinner eines mobilen Trojaners sein. Diese Art von Malware wurde kürzlich dabei ertappt wie sie Bankdaten stiehlt, indem sie das Interface von Taxi-Ruf-Apps nachahmt.

Den Faketoken-Trojaner gibt es bereits seit langer Zeit und wurde mit den Jahren immer wieder verbessert und aktualisiert. Unsere Experten nannten die aktuelle Version „Faketoken.q“ und mittlerweile hat diese Version jede Menge Tricks auf Lager.

Nachdem er sich auf dem Smartphone eingeschlichen hat und die notwendigen Module installiert hat, versteckt der Trojaner sein Verknüpfungssymbol und fängt an im Hintergrund aufzuzeichnen, was im System passiert. Dem Malwareicon nach zu urteilen schleust sich Faketoken hauptsächlich mithilfe von SMS-Nachrichten auf dem Smartphone ein, die dazu auffordern ein bestimmtes Bild herunterzuladen.

Das Icon des installierten Faketoken-Trojaners

Zunächst ist der Trojaner an den Telefonaten des Users interessiert. Sobald er einen Anruf aufspürt, fängt er an diesen aufzunehmen. Wenn der Anruf beendet wurde, sendet Faketoken die Aufnahmen zum Server der Kriminellen. Dann checkt der Trojaner welche Apps der Smartphonebesitzer nutzt.

Wenn Faketoken bemerkt, dass eine App gestartet wird, deren Interface er nachahmen kann, überlappt der Trojaner automatisch die App mit seinem eigenen Screen. Dafür nutzt er ein Standardfeature von Android, dass die Überlappung der Screens aller anderen Apps unterstützt. Eine ganze Reihe legitimer Apps wie Messenger, Window-Manager, usw. nutzen dieses Feature.

Das überlappte Fenster stimmt mit den Farben des Interface der App überein. In diesem Fenster fordert der Trojaner den User dazu auf, seine Kreditkartennummer anzugeben;  Verifizierungscode auf der Rückseite der Karte eingeschlossen.

Der Faketoken.q Trojaner ahmt bekannte Taxi-Ruf-Apps in Russland nach.

Tatsächlich hat es Faketoken.q auf eine Vielzahl von Apps abgesehen, die eines gemeinsam haben: Die Eingabe von Zahlungsdaten scheint gewöhnlich genug, um keinen Verdacht zu erwecken. Unter den betroffenen Apps befindet sich eine erhebliche Anzahl mobiler Bankingapps, Android Pay, der Google Play Store, Apps zum Buchen von Flügen und Hotelzimmern und Apps zur Zahlung von Strafzetteln – und natürlich Apps, um ein Taxi zu rufen.

Während der Phase in der dem Nutzer Geld gestohlen wird, greift Faketoken auf ein weiteres Mittel zurück: Alle eingehenden SMS-Nachrichten werden vor dem User versteckt und direkt zum Server der Kriminellen weitergeleitet, wo dann das Einmalkennwort zur Zahlungsbestätigung entwendet wird.

How banking Trojans bypass two-factor authentication

Der geringen Anzahl der registrierten Attacken und User-Interface-Artefakten, die Sie in den Screenshots oben sehen können, nach zu urteilen, gehen wir davon aus, dass Forscher unseres Antiviruslabors an eine Testversion des Trojaners gelangt sind, wenn auch nicht die finale.

Eines müssen wir den eifrigen Erfindern von Faketoken lassen. Wahrscheinlich werden sie den Trojaner verbessern und eine Welle von Infizierungen wird aus der „kommerziellen“ Version hervorsprießen.

Momentan konzentriert sich der Trojaner auf User in Russland aber wie wir es bereits viele Male in der Vergangenheit beobachten konnten, stehlen Cyberkriminelle kontinuierlich Ideen untereinander. Deshalb wird es vermutlich nicht lange dauern, bis der Trick auch in anderen Ländern Fuß fasst. Viele Stadtbewohner haben heutzutage Taxi-Ruf-Apps installiert, deshalb scheint der Trick eine lukrative Möglichkeit für Malware-Entwickler zu sein.

Im Anschluss finden Sie einige Ratschläge wie Sie sich vor Faketoken und ähnlichen Trojanern schützen können, die Kreditkartennummern stehlen und SMS-Nachrichten abfangen, die einmalige Passwörter zur Kaufbestätigung enthalten.

  • Sie sollten in den Einstellungen von Android die Installation von Apps unbekannter Quellen verbieten. Um die Installation von unbekannten Quellen zu blockieren gehen Sie zu Einstellungen -> Sicherheit und heben Sie die Markierung bei Unbekannte Quellen auf.