Zeus-Trojaner knackt mTAN-Verfahren unter Android

Der bekannte Banking-Trojaner ZeuS versucht seit geraumer Zeit das mTAN-Verfahren beim Online-Banking zu knacken, um so die Überweisungen seiner Opfer umleiten zu können. Jetzt ist die ZeuS-in-the-Mobile (ZitMo) getaufte Malware erstmals für das ... mehr... Trojaner, Antivirus, Bundestrojaner Bildquelle: Warner Bros Trojaner, Antivirus, Bundestrojaner Trojaner, Antivirus, Bundestrojaner Warner Bros

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ist nicht wirklich tragisch da man sich den Trojaner selber installieren muss, er kommt nicht über irgendwelche Sicherheitslücken auf das System.
 
@I Luv Money: Sehe ich auch so. Ausserdem langt ja nicht alleine die Installation, man muss ja nochmal aktiv werden um die "Reg Nummer" aka Handy-Pc Verknüpfung einzugeben. Also selbst wenn man es ohne Ahnung installiert ist noch nichts passiert. Trotz allem glaube ich leider das hierauf einige drauf rein fallen könnten. Grade Personen mit wenig Ahnung von Pc's und Technik sind hier potentielle Opfer (wie immer eigentlich). Das Onlinebanking gefährlich sein kann weiß jeder, auch die mit wenig Ahnung und genau darauf zielt der Trojaner ja ab...
 
@-THOR-: Natürlich werden einige drauf rein fallen. Jedes System ist gefährdet/unsicher wenn man manuell eine Schadsoftware installiert. Ich würde die Sache als kritisch einstufen wenn man sich diesen Trojaner beim Surfen im Netz automatisch einfangen könnte.
 
@I Luv Money: Ich finde es in so fern tragisch, da sich die Software eben als Sicherheitssoftware tarnt. Und je nach dem wie gut die Programmiert ist, fällt man da auch als gut informierter PC-Freak drauf rein.
 
@pandamir: Gibt es die Software denn im Google Market? Oder muss man sich diese aus irgendwelchen Quellen manuell installieren?
 
@I Luv Money: Die größte Sicherheitslücke sitzt immer vorm PC (oder halt smartphone) von daher ist das schon tragisch.
 
@DataLohr: Das ist aber kein Maßstab wenn es um die Sicherheit eines Systems geht! Wie schon erwähnt, jedes System ist unsicher wenn ich als Anwender selbständig eine Schadsoftware installiere. Dagegen kann es keinen 100% Schutz geben. Ein Problem wäre es für mich nur wenn es so eine App im offiziellen Store von Google, MS gibt. Wenn ich aber erst manuell eine andere Quelle hinzufügen muss und die App von da installiere ist das halt wieder eigene Dummheit.
 
@I Luv Money: ändert nix daran das es eine lücke ist, eher noch schlimmer, eine lücke die man kaum stopfen kann...
 
@DataLohr: Eine Lücke definiere ich eher so das man sich Schadsoftware einfangen kann ohne _eigenes_ Zutun! Z.b. beim surfen im Netz, durch das simple Aufrufen einer Webseite. Nach deiner Definition kann man ein System nur sicher nennen wenn man selber, und auch niemand anderes, irgendwas installieren kann.
 
@I Luv Money: ich hab doch garnix definiert.... aber es gibt genug schadsoftware oder auch andere trickbetrüger, die nur erfolg haben weil die menschen nicht richtig aufpassen. das ist ein grundlegendes sicherheitsproblem, warum also genau das ausklammern?!
 
@DataLohr: Weil dieses Problem unabhängig vom verwendeten OS auftritt und auch nicht gefixt werden kann. Es gibt keine Updates gegen Dummheit :( . Sicherheitslücken als solche beziehen sich aber eben auf Lücken im System. Wenn ich bei meinem Auto den Airbag abklemme und dann vor ne Wand fahre darf ich mich auch nicht aufregen das ein Airbag nichts bringt ;)
 
@I Luv Money: ja es gibt kein patch und auch mit schulung kommt man nicht viel weiter, aber trotzdem gehört der mensch der das system nutzt zum system, weil ers eben bedient. und ja die leute sind dann auch selbst schuld, aber das haben wie doch jetz 3 mal geklärt :p
 
@DataLohr: Ja, wir sind uns wohl einig, betrachten die Sache halt aus verschiedenen Blickwinkeln ;)
 
@I Luv Money: der Trojaner ist öfftl. Verfügbar ;) Man müsste ihn modizifieren und FIX ist er aufeinmal Gefährlich!
 
Oh Mann, ich leg mir meine Kohle am besten unters Kopfkissen, da ists wohl am sichersten ;-)
 
@jigsaw: nich wenn du ne freundin hast die weiß, dass du deine knete unterm kissen parkst ;-)
 
@jigsaw: nope.. da kommt der "frau" trojaner und wandelt dieses in parfüm und schuhe um :D
 
@dergünny: Sie werden zwar offiziell als Zweibeiner bezeichnet, aber wenn man nach der Anzahl der Schuhe geht scheinen sie uns ihre restlichen Beine zu verheimlichen. Was für eine Verschwörung...
 
@jigsaw: Ja naja, wenn du mal stark schwitzt reicht einmal zu schnell umdrehen und die Scheine waren mal (Soll ja Leute geben, denen ist ein Polster nicht hoch genug, und die legen noch ihren Arm darunter... *schaut unschuldig*) ... Also besser in das Nachtkästchen legen ;)
 
@Ðeru: Nee, bin schon von der Kopfkissen-Idee abgekommen. Die Jungs über dir haben schon recht: Ich hatte den Frau-jigsaw-Trojaner nicht beachtet. Ist der gefährlichste von allen da es keinen Schutz dagegen gibt :D
 
@jigsaw: Naja, wenn sie sich Schuhe kauft, hast du ja auch was davon, http://goo.gl/GYY5O die hier zB, sind doch uuuuuuuur schön <3 Weisst ja, Frauen kann man durch Plugins noch schöner machen, zB Schuhe ... und weil dergünny parfum erwähnte, nu ja, wenn deine Frau verführerisch duftet, kuschelt es sich ja besser, oder? ... Also gib ihr das Geld und zick nich rum ;)
 
Oh - hört sich ziemlich böse an! Hoffentlich fallen da nicht zu viele drauf rein.
 
@adidas999: werden schon genug pappnasen dabei sein... überlege doch mal wieviele immernoch auf die standard 0-8-15 methode mit "geben sie bitte 30 Tans ein" reinfallen. Traurig aber wahr.
 
@Stefan_der_held: oh ja wie recht du da doch hast.. wie dämlich man doch sein muss um überhaupt auf solche mails hereinzufallen.. die banken und co schreiben eh nie emails.
 
@dergünny: möchte fast behaubten, dass diese Möglichkeit lediglich programmiert wurde weil die alte Masche langsam den Krimminellen langweilig und ausgelutscht vorkommt.....
 
@dergünny: Klar schreibt die Bank Mails... Newsletter zB oder das wegen Wartungsarbeiten eBanking am dd.mm.yyyy um hh:mm nicht verfügbar sein wird :)
 
naja für unerfahrene user die denken etwas anderes zu instalieren oder einfach immer brav auf ok zu klicken egal was für warnungen kommen ist es ein problem
 
jetzt weiß ich, dass ich mtan weiterhin meiden sollte.
 
@Lindheimer: warum.. bist du ein dummer user der immer brav OK und ja klickt?? dann bitte.. lass es lieber.. bist du ein achtsamer user und ziehst dir nicht sämtlichen rotz auf deine gurken.. dann kann man mtan getrost nutzen
 
@dergünny: das 2. aber mit der klassischen tan liste bin ich bisher ganz gut gefahren und sicher ist sicher.
 
@Lindheimer: Und genau diese vergleichsweise sichere Methode wollen jetzt die meisten Abschaffen. Es hat schon seinen Sinn warum ein Medienbruch für die Authentifizierung verwendet wird.
 
@Johnny Cache: ich weiß meine bank drängt mich auch zur umstellung und verlangt dann für jede versendete tan eine gebühr für die sms. >:(
 
@Lindheimer: Bank wechseln! Meine verschickt die SMS kostenlos. Zudem ist das mTAN Verfahren sicherer wie das bisherige normale TAN oder iTan. Außer du installierst dir eben so eine Software. In dem Fall (News) ist das schon ein wenig gemein gemacht, da die Software dich ja nicht nach Tans frägt, sondern dir suggeriert dass es sich um eine Sicherheitssoftware handelt.
 
@Lindheimer: Postbank macht's gratis.
 
@pandamir: tja, und das richtig fatale ist viel mehr, daß es sich bei Trusteer durchaus um eine echte Sicherheitssoftware handelt, die z.B. von französischen Banken offensiv als Sicherheitsmaßnahme beworben wird. Bei der Online Tochter der Societe Generale wird der Nutzer explizit aufgefordert, die Software als Sicherheitsmaßnahme zu installieren. Die obigen Screenshots lassen keinen Unterschied zu der "echten" Website des Unternehmens erkennen.
 
@Lindheimer: also ich benutze mtan mit android nur das ich von meiner bank eine sms bekomme mit der tan und ich dazu keien software benötige. ;)
 
Und da heißt es immer das nicht's mehr für WM entwickelt wird :D
 
Und bei MacDefender wars ein riesen Aufschrei ...
 
Also ich kann dazu nur sagen, wer auf seinem Handy Online Banking betreibt ist selber schuld. In Punkto Sicherheit sind da alle Mobilen Betriebssysteme in etwa gleich, noch längst nicht ausgereift! Da könnt ihr jetz sagen was ihr wollt, aber wenns ums Geld geht sollte man lieber immer auf der sicheren Seite sein!
 
@SecOne: Ich würde fast sagen, dass ich über eine etablierte, sichere App wie iOutbank (ja, auch da gabs mal Lücken) weniger Risiken beim onlinebanking auf mich nehme wie am PC, wo ich (als Otto-Normal-User) auf irgendeine gefakte Seite kommen kann und dort dann meine Daten eintippe... In einer geschlossenen App kann dir sowas nicht passieren.
 
@SecOne: wie schon Johnny Cache weiter oben sagte: ein Medienbruch macht durchaus Sinn beim Online-Banking. Wenn Du aber Online-Banking auf Deinem Handy betreibst und Dir dann die mTAN aufs Handy schicken lässt - dann bist Du schon selber dran schuld, wenn's schief geht. Nicht umsonst schreiben die Banken in ihren Online-Bedingungen rein, daß das TAN Handy nicht das gleiche Medium sein darf wie das, von wo aus Du die Überweisung machst.
 
Nicht ohne Grund haben einige Banken, wie die Sparkasse mit ihren apps das mtan Verfahren deaktiviert...
 
Was ich mich jetzt aber noch frage, ist: wie bekommen die Verbrecher den Link zwischen dem PC, auf dem die Eingabe der Überweisung erfolgt und dem zugehörigen Handy hin? Die mTAN bezieht sich doch immer nur auf eine spezielle Überweisung mit definiertem Betrag und Empfängerkontonummer... Das kann doch eigentlich nur funktionieren, wenn die TAN auf dem Handy, wo Du die Überweisung eingibst, eintrifft.
 
@ott598487: Da auch heutzutage Handy Apps zum OnlineBanking genutzt werden, kann das aber durchaus passieren.
 
@sebastian2: guter Hinweis! Dann müssten die Banken aber ihre mTAN-Bedingungen umschreiben. Das ist in der Tat interessant.
 
@ott598487: Genau das wird doch getan.

So kann z.B. die offizielle Sparkassen Banking app, KEIN mTAN mehr.
 
@sebastian2: und was wird dann für 'ne TAN in der App verwendet? Ich bezog mich bei meinen Aussagen natürlich nur darauf, daß ich mit meinem Smartphone über die klassische Spk-Website ins Banking gehe und mir dann die mTAN auf das Handy, mit dem ich ins Web gehe, zuschicken lasse. NACHTRAG: habe mir eben mal die Spk-App (ohne Trusteer App ;-) ) angeschaut. Du hast da natürlich Recht!
 
@ott598487: Naja das steht so halb im Text, aber auf den Screenshots kann man erkennen wie das läuft. Die Sache geht ja auf deinem PC los, wenn der ZeuS-Trojaner da drauf ist. Der fordert dich wie man auf dem Screenshot lesen kann auf, auf deinem Smartphone eine Seite zu öffnen und von der ein Programm auf dem Smartphone zu installieren. Das gibt dir dann den Aktivierungscode, den du auf deinem PC in das Eingabefeld da eingeben sollst. Und wenn dein PC befallen ist, wissen sie sofort was wozu gehört, dann wird dein Onlinebanking-Zugang per Keylogger erlangt, und dann können sie soviel überweise wie sie wollen, da ja jede SMS mit der TAN bei ihnen landet.
 
@mh0001: OK, wenn das so läuft, dann kann es funktionieren. Da muss man aber sehr stark interpretieren, um das aus dem Text heraus zu lesen. Danke Dir für die freundliche Aufklärung! Ist schon der Hammer, und wirklich täuschend echt zu dem Original.
 
Ein grund bei Apple zu bleiben. Da können die leute soviel meckern wie sie wollen das Apple zu viel verbietet oder kontrolliert aber dafür ist es ein sicheres System.
 
@Deathman28: Da auch einige Banken auf den Apple Geräten die mTAN deaktiviert haben. Ist die Sicherheit wohl doch nicht so hoch, dass sowas NIE passieren könnte.

Schon 2008 gab es fürs iPhone den ersten Trojaner, übrigens von einem 11 jährigen geschrieben...

Bei Android und sicherlich auch iPhone, reicht es aber auch einfach, wie an einen PC, brain.exe einzuschalten ;).
 
@sebastian2: Nur das 95 Prozent aller pc und smartphone user brainexe nichts hilft, da sie Laien sind. Nicht immer vom it Fan auf die Menschheit schliessen.
 
@balini: Also tut mir leid. brain.exe wird hier durchaus helfen.

Auch als Laie sollte klar sein, dass Software aus Drittquellen nunmal nicht 100 % sicher sein kann.

Vieles ist nunmal eher brain.exe und Logik, als Wissen über Technik.
 
Das ist wohl ein Fall für den Google Kill Switch, mit dem Google eine Löschung bestimmter Apps auf allen Android-Geräten auslösen kann.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles