Der AV-Hersteller F-Secure berichtet über eine neue Variante des Online-Banking-Trojaners SpyEye, der einen raffinierten Trick einsetzt, um an die ans Handy übermittelten mTANs abzufangen. Anders als der große Bruder Zeus hat SpyEye offenbar deutsche Online-Banking-Anwender im Visier.
Beim mTAN-Verfahren, das viele Banken als Nachfolger der unsicheren (i)TAN eingeführt haben, sendet die Bank die TAN einschließlich der Transaktionsdaten via SMS an eine vorher hinterlegte Handy-Nummer. Ein Online-Banking-Trojaner auf dem Windows-PC kann diese Informationen nicht manipulieren – jedenfalls nicht direkt.
Nach der Installation auf dem Handy erscheint eine harmlose Meldung.
Bild: F-Secure Deshalb greifen Zeus und SpyEye zu einem Trick: Auf dem infizierten PC blenden sie direkt in die Online-Banking-Seite der Bank eine Nachricht ein, dass ein neues Zertifikat der Bank auf das Handy übertragen werden müsse. Dazu soll der Kunde seine Handynummer und seine IMEI eingeben. Kurze Zeit später erhält er eine Nachricht mit dem angeblichen Installer für das Zertifikat. Startet er diesen, erscheint die deutschsprachige Nachricht: „Die Seriennummer des Zertifikats: 88689-1299F“.
Heimlich im Hintergrund installiert das Trojanische Pferd jedoch Spionage-Software auf dem Handy. Deren Funktionsweise wird derzeit noch analysiert; aber anscheinend überträgt sie die ankommenden mTAN-Daten via Internet an einen Web-Server. Die Spionage-Software ist auf Symbian-Smartphones wie die von Nokia spezialisiert. Damit sich Software auf einem Symbian-Handy ohne auffällige Warnungen installieren lässt, muss diese digital signiert sein. Der SpyEye-Trojaner ist deshalb mit einem Entwickler-Zertifikat unterschrieben, wie man es kostenlos etwa vom chinesischen Dienstleister OPDA erhalten kann. In das Zertifikat der App muss dann allerdings die IMEI des Ziel-Handys eingetragen sein, weshalb der Banking-Trojaner diese ebenfalls abfragt und dann eine speziell angepasste Version erstellt.
Dieser Angriff stellt die Sicherheit des mTAN-Verfahrens ernsthaft in Frage. Mit dem üblichen Tipp, Apps nur aus vertrauenswürdigen Quellen zu installieren, ist es nicht mehr getan. Da in diesem Fall die App ja scheinbar sogar von der Bank angekündigt wurde, dürften viele Anwender auf diesen Trick reinfallen, ohne dass man ihnen mangelnde Sorgfalt vorwerfen könnte. Damit ist es höchste Zeit, dass die Banken, die mTAN einsetzen, erklären, wie sich ihre Kunden zukünftig schützen sollen. Eine Alternative für sicheres Online-Banking ist die sogenannte SmartTAN, oft auch als optische TAN bezeichnet. Oder der Einsatz eines garantiert Trojaner-freien Systems wie es das c’t-Bankix bietet, dessen nächste Version in c’t 9/11 Ende der Woche erscheint
Quelle: heise-online