1758276

Malware als Sicherheitszertifikat für Android getarnt

25.04.2013 | 14:26 Uhr |

Mit scheinbar von der Postbank stammenden Mails versuchen Online-Bankräuber an die mTANs und PINs ihrer Opfer zu gelangen. Dazu drängen sie die Mail-Empfänger zur Installation einer vorgeblichen "SSL Zertifikat App" für Android.

Online-Banking wird heutzutage oft unter Einbeziehung eines Mobiltelefons durchgeführt. Es dient beim Zwei-Wege-Authentifizierungsverfahren zur vom PC unabhängigen Übermittlung einer ad hoc generierten Transaktionsnummer, der so genannten mTAN. Online-Kriminelle, die Bankkonten plündern wollen, nehmen Mobilgeräte ins Visier, um die mTANs abfangen zu können.

Der Bochumer Antivirushersteller G Data berichtet in seinem Blog über das neueste Beispiel dafür, wie die Täter dabei vorgehen. Sie senden vorgeblich von der Postbank stammende Mails, die zwei Web-Links enthalten. Die Mails tragen einen Betreff wie "Extended Validation-Zertifikate im Android" oder "EVL SSL Zertifikat App im Android".

Download-Seite für Zertifikat App
Vergrößern Download-Seite für Zertifikat App

Einer der enthaltenen Links führt zum Google Play Store, wo sich die Angeschriebenen eine "SSL Zertifikat App" herunter laden und auf ihrem Android-Mobilgerät installieren sollen. Der zweite Link führt zu einer Google Hilfe-Seite, auf der erläutert wird, wie man unsignierte Apps installiert, die nicht aus Google Play stammen.

Bei dieser (unsignierten) Zertifikat-App handelt es sich um ein Trojanisches Pferd. Es fängt alle eingehenden mTANs ab und sendet sie an die Täter. Die trojanische App verlangt bei der Installation die Eingabe der Bankverbindung nebst PIN. Zudem fordert es verschiedene Berechtigungen an, darunter auch die für den Zugriff auf eingehende SMS.

G Data hat die Entdeckung dieses Schädlings an Google gemeldet, das die App aus seinem Play Store entfernt hat. Auch die Postbank wurde informiert – sie warnt ihre Kunden auf ihrer Website sowie auf ihrer Facebook-Seite vor der Betrugsmasche.

0 Kommentare zu diesem Artikel
1758276