Mobiler Banking-Trojaner ‚Riltok‘ breitet sich weltweit aus

28 Jun 2019

Der mobile Banking-Trojaner ‚Riltok‘, der es auf das Geld seiner Opfer abgesehen hat, breitet sich nun international aus. Die mobile Malware wurde erstmals Mitte des Jahres 2018 entdeckt und hatte russische Nutzer im Visier. Nun scheinen die Hintermänner ihren Aktionsradius ausgeweitet zu haben und attackieren User weltweit – derzeit in Frankreich, Italien und Großbritannien. Die Kaspersky-Experten gehen davon aus, dass ,Riltok‘ – weil zuvor erfolgreich – weitere Gebiete erobern könnte, wie beispielsweise Deutschland.

Banking-Trojaner zielen darauf ab, Zugriff auf die Finanzkonten und Vermögenswerte der Opfer zu erhalten, indem sie in erster Linie Anmeldeinformationen stehlen und Online-Banking-Sitzungen kapern.

Trojaner tarnen sich häufig als legitime Web-Dienste oder Apps, um den Nutzer zur Installation und Eingabe seiner Anmeldeinformationen und weiterer sensibler Daten zu verleiten.

Das Angriffsszenario des Riltok-Trojaners (der Name leitet sich ab von „Real Talk“) beginnt gewöhnlich mit einer SMS-Nachricht mit einem Link zu einer gefälschten Webseite, die einer beliebten Website für kostenlose Kleinanzeigen ähnelt. Darauf wird der Nutzer aufgefordert, die angeblich neue Version der mobilen App des Dienstes zu installieren, bei der es sich jedoch um die Riltok-Malware handelt. Sobald der Trojaner heruntergeladen wurde und die erforderlichen Berechtigungen vom Opfer erhalten hat, ernennt sich Riltok selbst zur Standard-App zum Empfangen und Anzeigen von SMS. So können die Angreifer alle SMS einschließlich der Bestätigungscodes für Bankkartenvorgänge sehen und SMS zur Weiterleitung an andere Nummern senden.

Zu den Hauptfunktionen von Riltok gehören:

  • Diebstahl von Kreditkarteninformationen, indem ein gefälschter Google Play Store angezeigt wird und das Opfer aufgefordert wird, seine Zahlungskartendaten einzugeben. Darüber hinaus überprüft die Malware, dass die angegebenen Details echt sind – beispielsweise die Anzahl der für die Karte eingegebenen Ziffern;
  • Diebstahl von Bankkontodaten, indem ein gefälschter Bildschirm der Banking-App angezeigt oder eine Phishing-Seite im Browser geöffnet wird;
  • Ausblenden von Aktivitäten und Einstellungen anderer Apps wie Sicherheitslösungen oder Einstellungen für die Gerätesicherheit;
  • Ausblenden von Benachrichtigungen legitimer Banking-Apps.

Wir haben beobachtet, wie sich Riltok langsam, aber stetig in Russland verbreitet hat. Wir erwarten einen Anstieg der Angriffe, da Cyberkriminelle, sobald sie eine Malware in Russland erfolgreich testen, ihre Aktivitäten auf weitere Länder und Kontinente ausdehnen – in diesem Fall beginnend mit Europa. Ein solches Vorgehen haben wir schon oft beobachtet. Normalerweise werden solche Bedrohungen dann weltweit verbreitet.

 

Kaspersky-Empfehlungen, um sich vor Riltok zu schützen

  • Niemals auf verdächtige Links in SMS klicken;
  • Die Installation von Programmen aus unbekannten Quellen blockieren und nur Apps aus offiziellen App Stores installieren;
  • Auf die Berechtigungen achten, die von einer App angefordert werden. Wenn die Berechtigung nicht für die Funktion der App geeignet ist, jedoch aktiviert werden muss, sollte die App nicht verwenden werden.

Kaspersky-Produkte erkennen die Bedrohung als Trojan-Banker.AndroidOS.Riltok.

Weitere Informationen zum Riltok-Trojaner sind verfügbar unter https://securelist.com/mobile-banker-riltok/91374/