{"id":14446,"date":"2017-08-18T14:30:10","date_gmt":"2017-08-18T12:30:10","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=14446"},"modified":"2017-09-27T15:18:44","modified_gmt":"2017-09-27T13:18:44","slug":"faketoken-trojan-taxi","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/faketoken-trojan-taxi\/14446\/","title":{"rendered":"Taxi-Trojaner sind auf dem Weg"},"content":{"rendered":"

Sie haben es eilig und m\u00fcssen schnellstens zur Arbeit, zu einem Gesch\u00e4ftsmeeting oder einem Date. Was tun? Sie \u00f6ffnen Ihre Lieblingsapp, um ein Taxi zu bestellen. Eigentlich wie immer, nur dass dieses Mal von Ihnen verlangt wird, Ihre Kreditkartennummer anzugeben. Klingt verd\u00e4chtig? Vielleicht nicht \u2013 schlie\u00dflich k\u00f6nnen auch Apps Informationen vergessen und Sie deshalb darum bitten Ihre Karteninformationen erneut einzugeben.<\/p>\n

Doch nach einem geraumen Zeitraum bemerken Sie, dass pl\u00f6tzlich Geld auf Ihrem Konto fehlt. Was ist passiert? Sie k\u00f6nnten der ungl\u00fcckliche Gewinner eines mobilen Trojaners sein. Diese Art von Malware wurde k\u00fcrzlich dabei ertappt wie sie Bankdaten stiehlt, indem sie das Interface von Taxi-Ruf-Apps nachahmt<\/a>.<\/p>\n

\"\"<\/a><\/p>\n

Den Faketoken-Trojaner gibt es bereits seit langer Zeit und wurde mit den Jahren immer wieder verbessert und aktualisiert. Unsere Experten nannten die aktuelle Version \u201eFaketoken.q\u201c und mittlerweile hat diese Version jede Menge Tricks auf Lager.<\/p>\n

Nachdem er sich auf dem Smartphone eingeschlichen hat und die notwendigen Module installiert hat, versteckt der Trojaner sein Verkn\u00fcpfungssymbol und f\u00e4ngt an im Hintergrund aufzuzeichnen, was im System passiert. Dem Malwareicon nach zu urteilen schleust sich Faketoken haupts\u00e4chlich mithilfe von SMS-Nachrichten auf dem Smartphone ein, die dazu auffordern ein bestimmtes Bild herunterzuladen.<\/p>\n

\n

\"\"<\/a><\/p>\n

Das Icon des installierten Faketoken-Trojaners<\/p>\n<\/div>\n

Zun\u00e4chst ist der Trojaner an den Telefonaten des Users interessiert. Sobald er einen Anruf aufsp\u00fcrt, f\u00e4ngt er an diesen aufzunehmen. Wenn der Anruf beendet wurde, sendet Faketoken die Aufnahmen zum Server der Kriminellen. Dann checkt der Trojaner welche Apps der Smartphonebesitzer nutzt.<\/p>\n

Wenn Faketoken bemerkt, dass eine App gestartet wird, deren Interface er nachahmen kann, \u00fcberlappt der Trojaner automatisch die App mit seinem eigenen Screen. Daf\u00fcr nutzt er ein Standardfeature von Android, dass die \u00dcberlappung der Screens aller anderen Apps unterst\u00fctzt<\/a>. Eine ganze Reihe legitimer Apps wie Messenger, Window-Manager, usw. nutzen dieses Feature.<\/p>\n

Das \u00fcberlappte Fenster stimmt mit den Farben des Interface der App \u00fcberein. In diesem Fenster fordert der Trojaner den User dazu auf, seine Kreditkartennummer anzugeben; \u00a0Verifizierungscode auf der R\u00fcckseite der Karte eingeschlossen.<\/p>\n

\n

\"\"<\/a><\/p>\n

Der Faketoken.q Trojaner ahmt bekannte Taxi-Ruf-Apps in Russland nach.<\/p>\n<\/div>\n

Tats\u00e4chlich hat es Faketoken.q auf eine Vielzahl von Apps abgesehen, die eines gemeinsam haben: Die Eingabe von Zahlungsdaten scheint gew\u00f6hnlich genug, um keinen Verdacht zu erwecken. Unter den betroffenen Apps befindet sich eine erhebliche Anzahl mobiler Bankingapps, Android Pay, der Google Play Store, Apps zum Buchen von Fl\u00fcgen und Hotelzimmern und Apps zur Zahlung von Strafzetteln \u2013 und nat\u00fcrlich Apps, um ein Taxi zu rufen.<\/p>\n

W\u00e4hrend der Phase in der dem Nutzer Geld gestohlen wird, greift Faketoken auf ein weiteres Mittel zur\u00fcck:<\/a>\u00a0Alle eingehenden SMS-Nachrichten werden vor dem User versteckt und direkt zum Server der Kriminellen weitergeleitet, wo dann das Einmalkennwort zur Zahlungsbest\u00e4tigung entwendet wird.<\/p>\n

How banking Trojans bypass two-factor authentication<\/a><\/p><\/blockquote>\n