Zeus-Trojaner knackt mTAN-Verfahren unter Android

Der bekannte Banking-Trojaner ZeuS versucht seit geraumer Zeit das mTAN-Verfahren beim Online-Banking zu knacken, um so die Überweisungen seiner Opfer umleiten zu können. Jetzt ist die ZeuS-in-the-Mobile (ZitMo) getaufte Malware erstmals für das Smartphone-Betriebssystem Android verfügbar. Im September 2010 tauchte ZitMo für Symbian auf, später folgten angepasste Ausgaben der Schadsoftware für Windows Mobile und BlackBerry. Laut den Sicherheitsexperten aus dem Hause Kaspersky nutzt die neue Android-Variante ein weitaus weniger ausgeklügeltes Verfahren als die Vorgänger, um auf die Systeme der potentiellen Opfer zu gelangen, heißt es in einem Blog-Beitrag.

(Abbildung 1) Sobald ZitMo installiert ist, leitet er eingehende SMS-Nachrichten an einen Server weiter, so dass die Angreifer die mTAN für einen Auftrag erhalten. Haben die Kriminellen auch den PC unter Kontrolle, der für das eigentliche Online-Banking verwendet wird, können sie die Überweisungen manipulieren und Geld auf eigene Konten leiten.

(Abbildung 2) ZitMo für Android tarnt sich als Sicherheitsanwendung, um auf die Smartphones der ahnungslosen Online-Banker zu gelangen. Unter dem Decknamen Trusteer wird eine Software angeboten, die Bankgeschäfte, bei denen SMS-Nachrichten genutzt werden, sicherer machen soll (Abbildung 1).


(Abbildung 3)
Wählt man aus der Liste der Smartphone-Plattformen den Eintrag Android aus, wird eine Installationsdatei für Android (APK) zum Download angeboten (Abbildung 2). Sie muss auf das mobile Gerät heruntergeladen und installiert werden. Dort findet man sie dann unter dem Namen Trusteer Rapport in der App-Übersicht (Abbildung 3). Wird sie ausgeführt, generiert sie einen Aktivierungs-Code (Abbildung 4), der auf der Website in Abbildung 2 eingegeben werden muss.


(Abbildung 4)
Die Angreifer können dadurch feststellen, welcher infizierte PC zu welchem infizierten Smartphone gehört. Nur so kann beim Online-Banking das mTAN-Verfahren geknackt werden. Eingehende SMS-Nachrichten werden nach der Installation der Schadsoftware an einen Ziel-Server weitergeleitet. Die weitergeleitete Nachricht enthält die Nummer des Absenders, den SMS-Text sowie eine eindeutige Identifikationsnummer des infizierten Geräts.

Laut Kaspersky wurden die ersten Angriffe nach diesem Prinzip Anfang Juni 2011 durchgeführt. Die Angreifer hatten sich dabei ausschließlich auf die Android-Nutzer konzentriert. Wählte man in der Liste in Abbildung 1 ein anderes Betriebssystem aus, erhielt man lediglich den Hinweis, dass für dieses Gerät kein zusätzlicher Schutz benötigt wird. Wie erfolgreich die Macher von ZitMo mit ihrer neuen Methode sind, ist nicht bekannt. Trojaner, Antivirus, Bundestrojaner Warner Bros