Vorsicht

Trojaner Spitmo.A für Symbian-Handys liest mTANs mit

F-Secure warnt vor Installation der Dateien sms.exe und SmsControl.exe
Von Kaj-Sören Mossdorf

SmsControl.exe zeigt die vermeintliche Seriennummer des Zertifikats. Spitmo.A: Zertifikat für Online-Banking?
Bild: F-Secure Online-Banking ist praktisch, aber vor allem die gedruckten TAN-Listen riefen immer wieder Betrüger auf den Plan. Die unsicheren Papierlisten werden derzeit unter anderem durch das mTAN-Verfahren ersetzt. Dabei wird dem Kunden eine vom Bank-Computer generierte Transaktionsnummer auf das Handy geschickt, die er dann nutzen kann, um den Vorgang, beispielsweise eine Überweisung, zu autorisieren. Doch auch bei diesem Verfahren haben Betrüger erste Hintertüren aufgebrochen. Sie setzen dabei auf Trojaner, die auf Smartphones und Handys mit dem Betriebssystem Symbian geschmuggelt werden. Ist die Schadsoftware einmal installiert, können SMS von Angreifern mitgelesen und weitere Schadsoftware installiert werden.

Die Angriffsmethode

SmsControl.exe zeigt die vermeintliche Seriennummer des Zertifikats. Spitmo.A: Zertifikat für Online-Banking?
Bild: F-Secure Per Trojaner werden Felder in die Webseite der betroffenen Bank eingeschleust, die den Bank-Kunden dazu auffordern, seine eigene Telefonnummer und die IMEI, die eindeutige Identifikation des Handys, preiszugeben. Anhand dieser Informationen soll dem Kunden dann ein Zertifikat zugesandt werden, was aber bis zu drei Tagen dauern kann. Die Virenspezialisten von F-Secure warnen derzeit vor einem solchen Trojaner für Symbian-Geräte, der unter dem Namen Spitmo.A die Runde macht. Der Trojaner beinhaltet zwei Installationsdateien. Eine davon, die sms.exe dient als Installer, während die Datei SmsControl.exe nur die Meldung "Die Seriennummer des Zertifikats: Ü88689-1299F" anzeigt, um den Nutzer von der Seriosität des Angebotes zu überzeugen.

Der Trojaner ist dabei mit einem Entwickler-Zertifikat signiert. Dadurch kann Software aber nur auf Handys mit einer bestimmten IMEI-Nummer installiert werden, weshalb die falschen Eingabefelder auf der Bank-Webseite auch nach eben dieser fragen. Sobald die Angreifer neue IMEI-Nummern erhalten wird das Software-Zertifikat erneuert und in den aktualisierten Trojaner eingespielt. Laut F-Secure kann dieser Vorgang aber dauern, weshalb dem Kunden die oben erwähnte Meldung angezeigt wird.

Abgefangene SMS werden an Angreifer übermittelt

Wie genau die abgefangenen Kurznachrichten an den Betrüger übermittelt werden, wird derzeit noch untersucht. Ein bereits vor einiger Zeit entdeckter Symbian-Trojaner namens ZeusMitmo.A sendete die abgefangenen mTANs per SMS an den Angreifer. Der vor kurzem entdeckte Spitmo.A scheint dagegen Kurznachrichten per HTTP-Protokoll an den Betrüger zu senden. Beide Trojaner nutzen eine Datei mit dem Dateinamen SmsControl.exe und geben sich als Zertifikat aus. Trotz der Gemeinsamkeiten unterscheidet sich der Programmcode laut den Experten von F-Secure aber. Der Trojaner ZeusMitmo.A kann manuell über den Software-Manager der Symbian-Geräte entfernt werden.

Schlagwörter