MobileTAN-Trojaner per Smartphone

Achtung: Ein neuer Trojaner nistet sich als Erweiterung im Browser ein und versucht Ihr Smartphone zu infizieren, um an die mobileTAN zu gelangen.

Unsere aufmerksame Kundin Frau B. hat die Infektion erkannt und mit unserem Online-Team das Vorgehen der Schadsoftware dokumentiert und analysiert.

Wie der Trojaner funktioniert, sehen Sie in den Screenshots.

 

Nach der Anmeldung im Onlinebanking wird man direkt mit einer Aufforderung “mobileTAN-Bestand anzeigen” konfrontiert. Weiter geht es mit dem Text “Achtung! Wissen Sie, dass jede SIM-Karte geklont werden kann?”

Anmeldung

Der weitere Text beschreibt die Betrugsform der Kartendoublette und verspricht eine Absicherung über eine Sicherheits-App, die diese Form des Betruges verhindern würde. Technisch ist dies möglich und nennt sich oft Push-TAN-Verfahren. Dabei löst eine App die an die SIM-Karte gebundene TAN per SMS ab. Die Lösung ist also gar nicht so falsch, aber die hier versprochene Sicherheitsapp ist natürlich keine Bankapp, sondern ein Hackertool.

Wir machen weiter:

Ein Kontrollblick auf die Zertifikate scheint nötig. Tatsächlich sind diese in Ordnung. Offensichtlich manipuliert der Trojaner die Inhalte und leitet nicht den Browser komplett um. Teile der Webseite scheinen nachgeladen zu werden. Das erklärt auch, weshalb das komplette Design perfekt umgesetzt wird, es wird der Style der GLS Bank Seite genutzt.

Zertifikat

Die Betrüger*innen wollen Zugriff auf das Telefon haben. Dazu muss auf dem Telefon eine Backdoor oder eine Software installiert werden, die zumindest die für Betrügereien nötige mobileTAN, also die SMS, an die Betrüger weiterleitet.

Abfrage Telefontyp

Ein “Uralt-Nokia” ist kein Smartphone und sollte die Betrugssoftware vor Probleme stellen.

Auswahl SMS oder App

QR-Codes kann es nicht lesen, USB-Verbindungen ergeben keinen Sinn. Also kennt die Schadsoftware dieses alte Telefon nicht und hätte auch keine Chance, eine App zu platzieren. Da es aber genügend Smartphones gibt, macht es ja nichts, wenn hier das Programm falsch liegt.

Wir machen weiter und entscheiden uns für die SMS, weil dies am sichersten erscheint. Frau B. trägt dazu in Rücksprache mit dem Onlinebanking-Team eine Telefonnummer ein.

Auswahl SMS
Fehlerhinweis

Tatsächlich erscheint wenige Sekunden später eine SMS mit einem Link, der "nicht ohne" ist.

In der Zwischenzeit simuliert der Trojaner Aktionen und verhindert den automatischen Logout. Das ist ziemlich gut programmiert! Bei dem 15 Minuten-Countdown handelt es sich um eine wichtige Sicherheitsmaßnahme.

Timeout wird zurück gesetzt

Sämtliche Navigationselemente unseres Onlinebankings sind nicht erreichbar – für den Bankserver sieht es so aus, als würde nichts mehr passieren. Der Trojaner verhindert den Rauswurf mit einem simulierten Klick.

Im Browser baut sich eine neue Seite auf.

neue Seite

Die Seite vr-networld.com.de ist für unaufmerksame Menschen nicht einfach als gefälschte Adresse zu erkennen. Die eigentliche Domäne ist com.de und vr-networld ist eine Unterdomäne. Erkennt man das nicht und folgt den Hinweisen, kann dies gefährlich werden.

Da die Betrüger*innen Zugriff auf das Telefon benötigen, soll eine Applikation installiert werden. Aus inoffiziellen Quellen würden die Sicherheitseinstellungen von Android oder Apple die Installation solcher Apps verhindern. Die Sicherheitseinstellungen müssten vorher deaktiviert werden, damit das Telefon Apps aus unsicheren Quellen akzeptiert. Also ist eine detaillierte Anleitung dazu nötig.

Dies sind Vermutungen. Wir riskieren keine Infektion und installieren lieber nichts. Wir verfolgen auch nicht die kompletten Anleitungshilfen.

Auswahl

Wir tun so als ob und bestätigen, dass wir die Datei geöffnet hätten. Wie wird die Software reagieren?

Das ist überraschend (Screenshot unten) – hier wurde viel Zeit investiert. Merkt die Software, dass wir uns nur zum Schein auf die Anleitung eingelassen haben.

Dieser Link führt zu einem Smartphone Trojaner.

Hier brechen wir ab. Das Ganze wird zu riskant. Wer weiß, was eine solche Malware aktivieren würde?!

Sofort ändert Frau B. Ihre PIN und Zugangsdaten. Vielen Dank an sie für die Unterstützung und auch die Erlaubnis, die Bilder zu veröffentlichen.

Hinweis: Das Onlinebanking ist mit deaktivierten Addons/Plugins erreichbar.

Informieren sie sich regelmäßig über neue Sicherheitshinweise.