Sicherheitsfirma warnt vor Malware beim Diebstahl von Bankdaten per SMS

Mehrere bösartige Android-Apps zum Diebstahl von Mobile Transaction Authentication Numbers (mTANs), die Banken per SMS an ihre Kunden senden Englisch: www.germnews.de/archive/dn/1998/02/30.html (Short Message Service) wurden bei Google Play von Forschern des Antivirus - Herstellers Kaspersky Lab gefunden.

Die Apps wurden von einer Bande erstellt, die eine Variante der Carberp - Banking - Malware für die Kunden mehrerer russischer Banken, Denis Maslennikov, verwendet Ein führender Malware-Analyst bei Kaspersky, sagte Freitag in einem Blog-Post.

Viele Banken verwenden mTANs als Sicherheitsmechanismus, um Cyberkriminelle daran zu hindern, Geld von kompromittierten Online-Banking-Konten zu übertragen ts. Wenn eine Transaktion von einem Online-Banking-Konto initiiert wird, sendet die Bank einen eindeutigen Code namens mTAN per SMS an die Telefonnummer des Kontoinhabers. Der Kontoinhaber muss diesen Code zurück in die Online-Banking-Website eingeben, damit die Transaktion autorisiert werden kann.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Um diese Art der Verteidigung zu besiegen Cyberkriminelle erstellten schädliche mobile Apps, die automatisch SMS-Nachrichten aus den mit den Zielbanken verknüpften Nummern verbergen und die Nachrichten automatisch auf ihre Server hochladen. Opfer werden dazu verleitet, diese Apps über gefälschte Nachrichten herunterzuladen und zu installieren, die beim Besuch der Website ihrer Bank von einem infizierten Computer angezeigt werden.

SMS-Stealing-Apps wurden zuvor zusammen mit den Zeus- und SpyEye-Banking-Trojanern verwendet -in-the-Mobile (ZitMo) und SpyEye-in-the-Mobile (SpitMo) -Komponenten. Laut Maslennikov wurde jedoch zum ersten Mal eine Rogue Mobile Komponente gefunden, die speziell für die Carberp-Malware entwickelt wurde.

Im Gegensatz zu Zeus und SpyEye wird das Carberp-Trojaner-Programm hauptsächlich für Online-Banking-Kunden aus Russland und anderen russischen Ländern eingesetzt. sprechende Länder wie die Ukraine, Weißrussland oder Kasachstan

Trojaner von anderen Banden usurpiert

Laut einem Bericht des Antiviren-Herstellers ESET vom Juli verhafteten russische Behörden die Menschen hinter den drei größten Carberp-Operationen. Allerdings wird die Malware weiterhin von anderen Gangs genutzt und wird je nach Version und ihren Funktionen auf dem Underground-Markt für Preise zwischen 5.000 und 40.000 US-Dollar verkauft.

"Dies ist das erste Mal, dass wir bösartige Mobilgeräte gesehen haben Komponenten von einer Carberp-Bande ", sagte Aleksandr Matrosov, Senior-Malware-Forscher bei Antivirus-Anbieter ESET, Freitag per E-Mail. "Mobile Komponenten werden nur von einer Carberp-Gruppe verwendet, aber wir können derzeit keine weiteren Details offenlegen."

Die auf Google Play gefundenen neuen Carberp-in-the-Mobile-Apps (CitMo) wurden von Sberbank als mobile Apps getarnt und Alfa-Bank, zwei der größten russischen Banken, und VKontakte, der beliebteste Online-Social-Networking-Service in Russland, sagte Maslennikov. Kaspersky hat sich am Mittwoch mit Google in Verbindung gesetzt, und alle CitMo-Varianten wurden bis Donnerstag vom Markt genommen.

Die Tatsache, dass Cyberkriminelle diese Apps in erster Linie auf Google Play hochladen konnten, wirft jedoch Fragen zur Effizienz des App-Marktes auf Anti-Malware-Abwehrmechanismen wie der Bouncer-Anti-Malware-Scanner, der Anfang dieses Jahres von Google angekündigt wurde.

"Es scheint, dass es nicht so schwer ist, die Google Play-Abwehr zu umgehen, da Malware dort regelmäßig erscheint", sagte Maslennikov per E-Mail.

Bogdan Botezatu, ein Senior-E-Threat-Analyst beim Antivirenhersteller Bitdefender, glaubt, dass es für Googles Bouncer schwierig sein könnte, ZitMo-, SpitMo- oder CitMo-Komponenten zu erkennen, da sie einigen legitimen Anwendungen funktionell ähnlich sind.

"The mobile Die Version des Trojaners ist nur dafür verantwortlich, die empfangene SMS zu entführen und ihren Inhalt an einen anderen Empfänger weiterzuleiten, und dieses Verhalten findet sich auch in legitimen Anwendungen wie SMS-Mana Apps oder sogar Anwendungen, mit denen der Benutzer seine Geräte per SMS steuern kann, falls sie gestohlen oder verloren gehen ", sagte er per E-Mail. "SMS-Überwachung ist eine Funktion, die in Foren zusammen mit Beispielcode gut dokumentiert ist. Wenn derselbe Beispielcode sowohl in bösartigen als auch in legitimen Anwendungen verwendet wird, wäre es noch schwieriger, ihn zu erkennen und zu blockieren."

Die Möglichkeit, Google Play zum Verteilen von SMS-Stealing-Apps zu nutzen, bietet Cyberkriminellen Vorteile, sagte Botezatu. Zunächst einmal sind einige Benutzergeräte so konfiguriert, dass sie nur Apps installieren, die von Google Play stammen. Außerdem sind die Nutzer in der Regel weniger verdächtig auf Apps, die über Google Play heruntergeladen werden, und achten weniger auf ihre Berechtigungen, weil sie erwarten, dass die Anwendungen genau das sind, was ihre Beschreibungen angeblich sind, sagte er.