Cyberkriminelle setzen verstärkt auf Mobile Banking Malware
Die IT-Sicherheitsfirma Crowdstrike warnt vor Trojanern für Mobile Banking, die im Darknet verkauft werden.
Immer mehr Verbraucher gehen dazu über, ihre Bankgeschäfte per App zu erledigen, statt am PC oder vor Ort in der Filiale. Möglich wird das durch Start-Ups im Bankgeschäft wie N26 oder Revolut, die ihren Kunden eine neue mobile Service-Landschaft bieten. Leider ruft der Trend zur Smartphone-Bank auch verstärkt Cyberkriminelle auf den Plan. Der aktuelle Risikoreport der US-amerikanischen IT-Sicherheitsfirma Crowdstrike warnt vor einer „aktiven Untergrundindustrie“, die Trojaner für Mobile Banking im Darknet verkauft. Das Business ist lukrativ und fördert die Entwicklung weiterer Schadsoftware. Mittlerweile gebe es ein eigenes Geschäftsmodell, berichtet Crowdstrike: „Malware as a Service“ heiße das Konzept, bei dem kriminelle Programmierer Schadsoftware im Abonnement an andere Cyberkriminelle verkaufen.
Schadsoftware wird regelmäßig aktualisiert
Mobile-Banking-Schadsoftware sei ein gewinnbringendes Geschäft, warnt der Risikobericht: jedes Mal, wenn die IT-Abteilung einer Bank die Sicherheitsvorkehrungen verbessere, werde ein „Update“ der Malware nötig. Die Verbesserungen sind also immer auch eine potentielle Einnahmequelle für kriminelle Programmierer, die dann eine neue Generation von Trojanern verkaufen können. Banking-Trojaner haben in der Regel ein Ziel: das Abfischen von Passwörtern und persönlichen Daten der Bankkunden, um sie an Dritte weiterzuleiten, die dann damit das Konto leerräumen können.
Malware arbeitet mit Overlays
Laut Crowdstrike gibt es aktuell eine vorherrschende Methode, bei der Schadsoftware auf dem Smartphone eingeschleust und sogenannte „Overlays“ bereitgestellt werden. Das Programm platziert dabei unsichtbare Eingabefelder über die originalen Anmeldefelder der Banking-App. Gibt der Kunde hier seine Daten ein, werden sie abgefangen und an die Kriminellen weitergeleitet. Um sich stärker abzusichern, arbeiten viele Apps bei der Authentifizierung mittlerweile mit zwei Faktoren: Neben dem Passwort wird der Nutzer nach einem Bestätigungscode in Form einer SMS gefragt. Findige Cyberkriminelle haben allerdings auch hier einen Weg gefunden, um eingehende SMS zu überwachen und an die Angreifer weiterzuleiten.
Einfallstore für Trojaner
Wie aber gelangen die Trojaner auf das Smartphone? Die Wege sind vielfältig, dabei würden laut Crowdstrike-Report drei Methoden am häufigsten eingesetzt: trojanische Apps, Spam-SMS und Phishing. Oft werden beliebte Spiele-Apps nachgebaut und in den großen App-Stores platziert. Sie sehen den Original-Anwendungen zum Verwechseln ähnlich, nach dem Öffnen breiten sie sich auf dem Handy aus. Fake-SMS fordern die Nutzer wiederum zum Download von Updates beispielsweise für eine Banking-App auf. Statt des App-Updates lädt das Gerät dann eine Schadsoftware herunter. Auf diese Art und Weise verbreite sich etwa aktuell der Trojaner Gustuff, warnt Crowdstrike: die Malware sei seit März 2019 aktiv und biete bereits Fakes für mehr als 100 Finanzinstitute in den USA, Australien, Polen, Indien und Deutschland an. Ähnlich gehen die Angreifer auch beim Phishing vor: schadhafte Links werden per E-Mail verschickt und führen den Nutzer zu falschen Bank-Webseiten. Loggt sich der Kunde hier ein, wird sein Passwort abgegriffen.
Digitale Hygiene
Im Gegensatz zum Online-Banking über den PC oder Laptop ist das mobile Banking per Smartphone noch vollständig abgesichert. Es gebe bislang kaum Sicherheitssoftware, mahnt der IT-Sicherheitsspezialist Crowdstrike. Auch fehle beim Handy oft das Bewusstsein für Sicherheitsrisiken. Die einzige Möglichkeit, sein Mobilgerät zu schützen bestehe daher in der digitalen Hygiene: so liege es in der Verantwortung eines jeden Nutzers, bei Downloads und Links vorsichtig zu sein und genau zu prüfen, auf welchen Webseiten man unterwegs ist.
