Zeus-Trojaner greift mTAN-Verfahren unter Android an

Zeus-in-the-Mobile zeigt diese Meldung an, wenn der Schädling erfolgreich installiert ist.
Bild: Kaspersky Der Antiviren-Hersteller Kaspersky hat Hinweise entdeckt, dass eine neue Angriffswelle mit Hilfe des im Prinzip seit September 2010 bekannten Schädlings Zeus und Zeus-in-the-Mobile (abgekürzt oft als ZitMo bezeichnet) bevor stehen könnte. Nun wurden neue Fassungen für die mobilen Betriebssysteme Android und Blackberry entdeckt. Diese arbeiten zusammen, um Zugangsdaten zu Online-Banking-Portalen bei betroffenen Nutzern auszuspionieren und die zur Autorisierung einer Überweisung nötige mTAN auszulesen.

Beide Komponenten des Angriffs sind stark spezialisiert. Der Windows-Trojaner verändert gezielt bestimmte Banking-Seiten - nach Kaspersky-Angaben zur Zeit nur für Opfer in Deutschland, Italien und Spanien.

Zeus-Trojaner: Schadsoftware im Zusammenspiel

Unter dem Namen Zeus findet sich zunächst der Trojaner für Windows-Systeme. Der Trojaner spioniert die Zugangsdaten zu Online-Banking-Seiten aus, in dem er die angezeigte Banking-Seite dahingehend manipuliert, dass alle Daten zu einem vom Angreifer kontrollierten Server umleitet. Außerdem wird der Nutzer aufgefordert, eine "Sicherheits-Software" auf sein Smartphone zu laden, die angeblich für gesteigerte Sicherheit sorgen soll.

Statt einer Sicherheitssoftware erhält der Nutzer jedoch eine Spionage-App (Zeus-in-the-Mobile, ZitMo), die dafür gedacht ist, eingehende SMS an einen von den Betrügern kontrollierten Server weiterzuleiten - außerdem verschleiert er den Empfang einer mTAN-SMS. Nun meldet sich ein Fenster, das auf die erfolgreiche Installation hinweist und den Aktivierungscode 7725486193 angibt.

Zeus-in-the-Mobile zeigt diese Meldung an, wenn der Schädling erfolgreich installiert ist.
Bild: Kaspersky Im Hintergrund spioniert die App nun eingehende SMS aus - nach Kaspersky-Angaben werden auf Android-Smartphones sämtliche SMS an eine schwedische Rufnummer weitergeleitet. Den Betrügern ist es nun möglich, Geld vom Konto der Opfer auf andere Konten zu transferieren. Die Sicherheitsmaßnahme mTAN ist erfolgreich ausgehebelt.

Bislang war insbesondere die Android-Fassung des Trojaners eher primitiv und nicht mit allen Funktionen ausgestattet, die die Blackberry-, Symbian- oder Windows-Mobile-Pendants aufwiesen. Mit der nun entdeckten Fassung habe sich dies aber geändert. Der Trojaner sei nun dahingehend erweitert worden, dass er auch Kommandos von den Betrügern entgegen nehmen könne.

Fraglich bleibt nun, ob die gefundenen Hinweise auf eine neue Angriffswelle hindeuten. Kaspersky betont, dass neu aufgefundene Schädlinge nicht unbedingt bedeuten müssen, dass eine solche bevorsteht. Erkennbar sei jedoch, dass an dem Trojaner und seinen Ablegern für mobile Betriebssysteme gearbeitet werde.

Schutz vor Zeus & Co.: mTAN-Verfahren sicher nutzen

Der Trojaner Zeus und Zeus-in-the-Mobile erfordert ein abgestimmtes Verhalten auf zwei unterschiedlichen Geräten. Der erste Angriffspunkt kann leicht dadurch abgesichert werden, indem stets aktuelle Sicherheitsupdates installiert werden. Auch Nutzer alternativer Betriebssysteme wie Mac und Linux haben Sicherheitsvorteile. Grundsätzlich sollte ein aktueller Virenscanner genutzt werden.

Auf einem Android-Smartphone kann die Installation von Software aus fremden Quellen deaktiviert werden. Außerdem sollte stets überprüft werden, ob zu installierende Apps so wenig Berechtigungen wie möglich verlangen.

Wer ganz sicher gehen möchte, kann sich entweder auf alternative TAN-Verfahren verlassen, wie iTAN oder chipTAN - soweit die eigene Bank eines der Verfahren anbietet. Wer auf die mTAN nicht verzichten möchte, könnte ein eigenes Handy dafür nutzen. Dafür reicht ein preisgünstiges Handy der 30-Euro-Klasse aus. Mit einer kostenlosen Prepaid-Karte ist das Handy mit einer eigenen Rufnummer ausgestattet.

Zu guter Letzt sollten auch Nutzer selbst vorsichtig sein. Insbesondere die Aufforderung der Banking-Seite, zusätzliche Software auf dem Smartphone zu installieren, sollte skeptisch beäugt werden. Zumindest ein Erkennungszeichen scheinen die Betrüger jedoch mittlerweile anzugehen: War früher oftmals an schlechter Grammatik ein Betrugsversuch erkennbar (gerade heute im Postfach gelandet: "Wir gesperrt Ihrem Konto für sicherheit"), leisten sich die Zeus-Betrüger keine solche Schwäche. Kaspersky nennt als wesentliche Änderung auf der Blackberry-Plattform: "Virus writers finally fixed grammar mistake in the ‘App Instaled OK’ phrase" (übersetzt: "Die Viren-Entwickler haben nun auch den Rechtschreibfehler 'App instaled OK' ausgebessert.").