Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Zeus-Botnetz Neuer Zeus-Trojaner sucht Android-Smartphones heim
Vorsicht beim Online-Banking via Android-Smartphone: Online-Kriminelle haben eine neue Variante des berüchtigten Zeus-Trojaners entwickelt, der speziell auf das Handy-Betriebssystem von Google zugeschnitten ist. Der Schädling fängt die beim mTAN-Verfahren genutzten SMS ab – damit können die Gangster Geld von den Konten ihrer Opfer stehlen. Damit ist die vermeintliche Sicherheit des Online-Banking-Verfahrens in Frage gestellt.
Die Kriminellen, die hinter dem gefährlichen Zeus-Trojaner und dem gleichnamigen Botnetz stecken, haben eine neue Variante des Schädlings entwickelt, die speziell auf das Google-Betriebssystem Android angepasst ist. Damit können von mobilen Geräten wie Smartphones und Tablet-Computern geheime Online-Banking-Daten gestohlen werden. Der Zeus-Trojaner ist auf diese Art des virtuellen Bankraubs spezialisiert und galt bislang als große Gefahr für die Nutzer gewöhnlicher PC.
Zwei Infektionswege für Android
Die Angreifer nutzen zwei verschiedene Infektionswege, um ein Android-Handy mit dem Zeus-Trojaner zu infizieren. Zum einen werden verseuchte Anwendungen in den Android-Market geschleust, die den Trojaner einschmuggeln. Außerdem wird im Internet eine vermeintliche Sicherheitssoftware namens "Trusteer Rapport" angeboten. Diese soll angeblich Online-Banking auf dem Smartphone sicherer machen. Doch auch in dieser Android-App schlummert der gefährliche Trojaner.
Trojaner sucht nach mTANs
Nachdem der Trojaner sich eingenistet hat, belauscht er alle eingehenden SMS-Textnachrichten und leitet diese sofort an einen externen Server weiter. Ziel ist das Abfangen von mTANs. Mit einer solchen mobilen Transaktionsnummer werden beim Online-Banking Überweisungen oder andere Transaktionen authentifiziert. Die Bank schickt dazu eine mTAN per SMS an das Smartphone. Fangen die Online-Kriminellen diese über den Zeus-Trojaner ab, können sie selbst damit eine räuberische Transaktion durchführen und Geld vom Konto des Opfers stehlen. Eine detaillierten Report über die Funktionsweise der Trojaners haben Experten des Sicherheitsdienstleisters Kaspersky erstellt.
Zweistufiger Angriff
Doch mit der erbeuteten mTAN allein können die Online-Kriminellen noch nichts anfangen, denn sie brauchen auch den Zugang zum Konto des Opfers. Auch das haben die Angreifer berücksichtig. Die verseuchte Trusteer-App erzeugt einen angeblichen Aktivierungscode, den der Nutzer dann auf der dazugehörigen Internetseite eingeben soll. Tut er das, können die Angreifer damit den Computer identifizieren, der dem infizierten Smartphone zuzuordnen ist. Dann wird dieser PC ebenfalls angegriffen, damit sich die Kriminellen in die Online-Verbindung zur Bank einklinken können. Nur so kann beim Online-Banking das mTAN-Verfahren geknackt werden. Wie der Sicherheitsdienstleister Kaspersky festgestellt hat, traten die ersten Angriffe nach diesem Muster bereits Anfang Juni auf.
Warum Zeus für Smartphones?
Dass Smartphones für Online-Kriminelle immer attraktivere Ziele werden, hat zwei Gründe. Zum einen gibt es für den heimischen Computer immer bessere Abwehrmaßnahmen gegen den Zeus-Trojaner und das dazugehörige Botnetz. Aber Smartphone-Nutzer glauben bisher, dass mobile Geräte nicht gefährdet sind und nutzen diese sorgloser als den heimischen Computer. Hauptgrund aber ist, dass immer mehr Banken aus Sicherheitsgründen vom unsicheren TAN-Verfahren - TAN-Listen kommen per Post und die TAN wird am Computer über die Tastatur eingegeben - zum sichereren mTAN-Verfahren wechseln. Deshalb passen sich die Online-Kriminellen an und wollen die per SMS verschickten mTANs abfangen. Google macht es den Angreifern leicht, da Android-Apps ohne Prüfung in den Android-Market aufgenommen werden. Da Apple jede App prüft, bevor diese für den Apple AppStore freigegeben wird, ist es für die Angreifer schwieriger das iPhone zu infizieren. Das bedeutet aber nicht, dass es unmöglich ist.