Zeus wird mobil – jetzt auch auf Android
Eine neue Variante von
Zeus
infiziert Android-Smartphones. Damit gibt es für alle verbreiteten und
offenen Mobil-Systeme eine Zeus-Variante:
Symbian,
BlackBerry
und
Windows Mobile.
Beschreibungen der neuen Variante gibt es z.B. von
Fortinet,
Kaspersky,
McAfee,
Sophos
und
Trusteer.
Verbreitung als Trojaner
Verbreitet wird der Schädling als
Trojaner.
Das Programm erweckt den Anschein, es sei eine Version des
Sicherheits-Tools
Rapport
von Trusteer, dass Man-in-the-Middle-Angriffe und
Man-in-the-Browser-Schädlinge abwehren soll. Auf einem mit Zeus
infizierten (Desktop-)Rechner wird der Benutzer
aufgefordert,
dieses Tool zu installieren, wobei er die Wahl zwischen Versionen für
iOS, BlackBerry, Android, Symbian und “andere” hat. Wobei es in diesem
Fall nur eine Android-Version gibt, bei Auswahl eines anderen Systems geht
der Benutzer leer aus. Der Trojaner wurde außerdem unter dem Namen
“TrustMobile” über den Android Marke verbreitet, dort aber
bereits von Google gelöscht.
Vor der
Installation
zeigt Android die angeforderten Rechte an, in diesem Fall
RECEIVE_SMS, INTERNET und
READ_PHONE_STATE. Die sind nicht weiter verdächtig.
Würde es sich wirklich um das vorgetäuschte Tool handeln,
würde es diese Rechte ebenfalls benötigen.
RECEIVE_SMS ist angeblich nötig, um eine für eine
Zwei-Faktor-Authentifizierung benötigte SMS empfangen zu können.
Der Schädling besteht aus drei Komponenten: Eine Activity, die
beim Klick auf das zugehörige Icon gestartet wird, einem in Hintergrund
laufenden Service und einer Klasse namens SmsReceiver,
die bei jedem SMS-Empfang ausgeführt wird.
Die Activity täuscht eine Benutzeroberfläche für Rapport vor
und wird im Rahmen eines Phishing-Angriffs eingesetzt: Das Programm gibt
einen angeblichen “activation key” aus, der auf der (gefälschten)
Bank-Website eingegeben werden soll. Tatsächlich handelt es sich
dabei um die IMEI (International Mobile Equipment Identity) des infizierten
Smartphones.
Nach der Installation wird bei jedem SMS-Empfang der Code in der Klasse
SmsReceiver ausgeführt, der IMEI, Absender-Adresse und
SMS-Inhalt an einen Server der Cyberkriminellen weiterleitet.
Ist es wirklich Zeus?
Sowohl bei
McAfee
als auch bei
Sophos
ist man nicht sicher, ob der Schädling wirklich zu Zeus gehört. Von Sophos
wird der Trojaner bereit seit einiger Zeit als
Andr/SMSRep-B
erkannt.
Für die Zugehörigkeit zu Zeus spricht die Tatsache, dass der
Trojaner von einer Desktop-Variante von Zeus verbreitet und von einem
Server geladen wird, der Zeus-Varianten verbreitet. Gegen die
Zugehörigkeit zu Zeus sprechen einige Punkte:
- Der Schädling ist nicht besonders ausgefeilt und kann nur alle
SMS abfangen und umleiten. Der Zielserver ist als Klartext im Code
enthalten, die übertragenen Daten werden nicht verschlüsselt, der
Programmcode ist nicht getarnt. Das ist für Zeus eigentlich
unüblich, dort legt man normalerweise Wert auf Sicherheit. - Es werden alle SMS weitergeleitet, es gibt keine Einschränkung
auf SMS mit mTANs oder SMS von bestimmten Banken. Das erschwert die
Auswertung durch die Cyberkriminellen, die ja die mTAN in Echtzeit mit den
zugehörigen Benutzerdaten verknüpfen müssen. Außerdem
dürfte das Opfer früher oder später misstrauisch werden, da
es ja überhaupt keine SMS mehr erhält. Die zuvor entdeckten
mobilen Zeus-Varianten waren in dieser Hinsicht besser getarnt, da sie nur
die mTAN-SMS oder nur SMS bestimmter Banken abfingen, alle anderen SMS den
Benutzer aber ganz normal erreichten.
Es ist allerdings auch möglich, dass die Cyberkriminellen es in diesem
Fall nur auf das Fälschen einer einzigen Überweisung abgesehen
haben und darüber hinaus einfach nur mal sehen wollen, was es sonst
noch interessantes auszuspähen gibt. Fliegt der Trojaner nach der
ersten gefälschten Überweisung auf, hätte er sein Ziel
trotzdem erreicht. - Es gibt keinerlei Command&Control-Funktionen, die Cyberkriminellen
können weder den Server zum Sammeln der SMS ändern noch die
Funktion des Trojaners beeinflussen. Die
zuvor entdeckten
mobilen Zeus-Varianten für Symbian, BlackBerry und Windows Mobile
nahmen Verbindung mit einem Command&Control-Server auf und waren
konfigurierbar.
Unabhängig von der möglichen Zeus-Variante hat Trend Micro einen
weiteren Trojaner
entdeckt,
der ebenfalls SMS weiterleitet. Auf welche Daten dieser
ANDROIDOS_CRUSEWIN.A
genannte Schädling angesetzt werden soll, ist nicht bekannt. Evtl.
haben die Zeus-Entwickler ja “ihren” Android-Trojaner von Dritten
entwickeln entwickeln lassen.
So funktioniert der Online-Bankraub
Grob vereinfacht läuft das normale Onlinebanking mit mTAN in folgenden
Schritten ab:
- Der Benutzer gibt die Daten der Überweisung auf der
Onlinebanking-Website ein und schickt das Formular ab. - Der Bank-Server verwendet einige der Daten, z.B. Kontonummer und
Betrag, um eine nur für diese Überweisung gültige mTAN zu
generieren und sendet die mTAN zusammen mit den relevanten Daten als SMS an
das Smartphone des Benutzers. - Der Benutzer prüft, ob die zurückgelieferten Daten mit den
eingegebenen überein stimmen. Ist alles in Ordnung, gibt er die mTAN
auf der Onlinebanking-Website ein und autorisiert damit die
Überweisung.
Der Onlinebanking-Trojaner, also z.B. Zeus, kann diesen Ablauf auf
verschiedene Arten manipulieren, z.B. als “Man in the Browser”:
- Der Trojaner manipuliert die Benutzereingaben so, dass eine
Überweisung mit den Daten der Cyberkriminellen an den Bank-Server
geschickt wird. - Der Bank-Server erzeugt die mTAN und sendet sie an das Smartphone
des Benutzers. - Die mobile Komponente des Trojaners fängt die SMS ab und sendet
sie an die Cyberkriminellen, die damit die Überweisung autorisieren
(z.B. indem sie sie an die zugehörige Desktop-Variante senden, die sie
dann an den Bank-Server sendet).
Bei der Manipulation einer vom Benutzer eingegebenen Überweisung
fällt dem Opfer die fehlende SMS auf. Aber dann ist es i.A. für
eine Reaktion schon zu spät, zumal es ja nicht unüblich ist, dass
eine SMS mal etwas später als erwartet eintrifft – und das gilt
natürlich auch für die SMS der Banken. Bei Bedarf können die
Cyberkriminellen die abgefangene SMS auch so manipulieren, dass sie die vom
Benutzer eingegebenen Daten enthält, und diese SMS dann an das Opfer
schicken. Der prüft die Daten, ist zufrieden, und gibt die mTAN ein.
Einfacher ist der Angriff, wenn der Trojaner auf dem Desktop-Rechner
unabhängig vom Benutzer aktiv wird:
- Der Trojaner verwendet die ausgespähten Zugangsdaten zum
Onlinebanking, um selbst eine Verbindung zum Bank-Server aufzubauen.
Alternativ können die Cyberkriminellen auch das Onlinebanking von
einem anderen Rechner aus nutzen. - Der Bank-Server erzeugt die mTAN und sendet sie an das Smartphone
des Benutzers. - Die mobile Komponente des Trojaners fängt die SMS ab und sendet
sie an die Cyberkriminellen, die damit die Überweisung autorisieren.
Da der Benutzer bei dieser Variante keine Überweisung in Auftrag gegeben
hat, vermisst er auch die SMS mit der mTAN nicht.
Grund zur Panik?
Zumindest bisher besteht kein Grund zur Panik. Bisher wird keine mobile
Zeus-Variante als
Drive-by-Infektion
oder von infizierten Desktop-Rechnern verbreitet, es handelt sich “nur” um
Trojaner. Aber die gibt es immerhin für alle verbreiteten und offenen
Mobil-Plattformen, das iPhone ist durch seinen abgeschotteten App-Store
ziemlich gut vor Schadsoftware geschützt, sofern die keine Schwachstelle
im System ausnutzt. Eine Version für gejailbreakte iPhones wäre
allerdings möglich, und die wird sicher früher oder später auch
noch kommen, warum sollten sich die Cyberkriminellen diesen Markt entgehen
lassen?
Solange Sie nicht fahrlässig Programme installieren, besteht zur Zeit
keine Gefahr. Eine absolute Sicherheit, niemals z.B. auf einen
Social-Engineering-Trick herein zu fallen, gibt es allerdings nicht. Man muss
eben vorsichtig sein. Kein Wunder, dass die
Angst vor Betrug beim Online-Banking
wächst. Die Idee, ein Smartphone für die Zwei-Faktor-Absicherung des
Online-Bankings zu verwenden, ist allerdings
suboptimal.
Die chipTAN ist relativ sicher, allerdings muss man dafür den meist
unsicheren Flash-Player installieren.
Nachdem auch diese Folge aus aktuellem Anlass ein anderes als das geplante
Thema hatte, kann es in der nächsten Woche hoffentlich wieder wie geplant
weitergehen. Wie bereits angekündigt, geht es in der nächsten Folge um
die Beseitigung installierter Schadsoftware.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer – Schadsoftware, die sich selbst verbreitet
- Trojaner – Der Feind im harmlosen Programm
- Zeus
-
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Zeus – Die Entwicklung eines Dauerbrenners
- Zeus-Sourcecode im Internet aufgetaucht
- Zeus wird mobil – jetzt auch auf Android
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits – Schadsoftware im System
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Passwort, P4ssw0rt, k1Gv3rJ8 – oder ist alles Käse?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 3.2014 – Androids Sicherheit aus Forschersicht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security – Von Fake-Apps, Trojanern und Spy Phones
Vorschau anzeigen
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt