Skip to content

Zeus wird mobil - jetzt auch auf Android

Geschrieben von Carsten Eilers am um 11:15

Eine neue Variante von Zeus infiziert Android-Smartphones. Damit gibt es für alle verbreiteten und offenen Mobil-Systeme eine Zeus-Variante: Symbian, BlackBerry und Windows Mobile. Beschreibungen der neuen Variante gibt es z.B. von Fortinet, Kaspersky, McAfee, Sophos und Trusteer.

Verbreitung als Trojaner

Verbreitet wird der Schädling als Trojaner. Das Programm erweckt den Anschein, es sei eine Version des Sicherheits-Tools Rapport von Trusteer, dass Man-in-the-Middle-Angriffe und Man-in-the-Browser-Schädlinge abwehren soll. Auf einem mit Zeus infizierten (Desktop-)Rechner wird der Benutzer aufgefordert, dieses Tool zu installieren, wobei er die Wahl zwischen Versionen für iOS, BlackBerry, Android, Symbian und "andere" hat. Wobei es in diesem Fall nur eine Android-Version gibt, bei Auswahl eines anderen Systems geht der Benutzer leer aus. Der Trojaner wurde außerdem unter dem Namen "TrustMobile" über den Android Marke verbreitet, dort aber bereits von Google gelöscht.

Vor der Installation zeigt Android die angeforderten Rechte an, in diesem Fall RECEIVE_SMS, INTERNET und READ_PHONE_STATE. Die sind nicht weiter verdächtig. Würde es sich wirklich um das vorgetäuschte Tool handeln, würde es diese Rechte ebenfalls benötigen. RECEIVE_SMS ist angeblich nötig, um eine für eine Zwei-Faktor-Authentifizierung benötigte SMS empfangen zu können.

Der Schädling besteht aus drei Komponenten: Eine Activity, die beim Klick auf das zugehörige Icon gestartet wird, einem in Hintergrund laufenden Service und einer Klasse namens SmsReceiver, die bei jedem SMS-Empfang ausgeführt wird.

Die Activity täuscht eine Benutzeroberfläche für Rapport vor und wird im Rahmen eines Phishing-Angriffs eingesetzt: Das Programm gibt einen angeblichen "activation key" aus, der auf der (gefälschten) Bank-Website eingegeben werden soll. Tatsächlich handelt es sich dabei um die IMEI (International Mobile Equipment Identity) des infizierten Smartphones.

Nach der Installation wird bei jedem SMS-Empfang der Code in der Klasse SmsReceiver ausgeführt, der IMEI, Absender-Adresse und SMS-Inhalt an einen Server der Cyberkriminellen weiterleitet.

Ist es wirklich Zeus?

Sowohl bei McAfee als auch bei Sophos ist man nicht sicher, ob der Schädling wirklich zu Zeus gehört. Von Sophos wird der Trojaner bereit seit einiger Zeit als Andr/SMSRep-B erkannt.

Für die Zugehörigkeit zu Zeus spricht die Tatsache, dass der Trojaner von einer Desktop-Variante von Zeus verbreitet und von einem Server geladen wird, der Zeus-Varianten verbreitet. Gegen die Zugehörigkeit zu Zeus sprechen einige Punkte:

  • Der Schädling ist nicht besonders ausgefeilt und kann nur alle SMS abfangen und umleiten. Der Zielserver ist als Klartext im Code enthalten, die übertragenen Daten werden nicht verschlüsselt, der Programmcode ist nicht getarnt. Das ist für Zeus eigentlich unüblich, dort legt man normalerweise Wert auf Sicherheit.
  • Es werden alle SMS weitergeleitet, es gibt keine Einschränkung auf SMS mit mTANs oder SMS von bestimmten Banken. Das erschwert die Auswertung durch die Cyberkriminellen, die ja die mTAN in Echtzeit mit den zugehörigen Benutzerdaten verknüpfen müssen. Außerdem dürfte das Opfer früher oder später misstrauisch werden, da es ja überhaupt keine SMS mehr erhält. Die zuvor entdeckten mobilen Zeus-Varianten waren in dieser Hinsicht besser getarnt, da sie nur die mTAN-SMS oder nur SMS bestimmter Banken abfingen, alle anderen SMS den Benutzer aber ganz normal erreichten.
    Es ist allerdings auch möglich, dass die Cyberkriminellen es in diesem Fall nur auf das Fälschen einer einzigen Überweisung abgesehen haben und darüber hinaus einfach nur mal sehen wollen, was es sonst noch interessantes auszuspähen gibt. Fliegt der Trojaner nach der ersten gefälschten Überweisung auf, hätte er sein Ziel trotzdem erreicht.
  • Es gibt keinerlei Command&Control-Funktionen, die Cyberkriminellen können weder den Server zum Sammeln der SMS ändern noch die Funktion des Trojaners beeinflussen. Die zuvor entdeckten mobilen Zeus-Varianten für Symbian, BlackBerry und Windows Mobile nahmen Verbindung mit einem Command&Control-Server auf und waren konfigurierbar.

Unabhängig von der möglichen Zeus-Variante hat Trend Micro einen weiteren Trojaner entdeckt, der ebenfalls SMS weiterleitet. Auf welche Daten dieser ANDROIDOS_CRUSEWIN.A genannte Schädling angesetzt werden soll, ist nicht bekannt. Evtl. haben die Zeus-Entwickler ja "ihren" Android-Trojaner von Dritten entwickeln entwickeln lassen.

So funktioniert der Online-Bankraub

Grob vereinfacht läuft das normale Onlinebanking mit mTAN in folgenden Schritten ab:

  1. Der Benutzer gibt die Daten der Überweisung auf der Onlinebanking-Website ein und schickt das Formular ab.
  2. Der Bank-Server verwendet einige der Daten, z.B. Kontonummer und Betrag, um eine nur für diese Überweisung gültige mTAN zu generieren und sendet die mTAN zusammen mit den relevanten Daten als SMS an das Smartphone des Benutzers.
  3. Der Benutzer prüft, ob die zurückgelieferten Daten mit den eingegebenen überein stimmen. Ist alles in Ordnung, gibt er die mTAN auf der Onlinebanking-Website ein und autorisiert damit die Überweisung.

Der Onlinebanking-Trojaner, also z.B. Zeus, kann diesen Ablauf auf verschiedene Arten manipulieren, z.B. als "Man in the Browser":

  1. Der Trojaner manipuliert die Benutzereingaben so, dass eine Überweisung mit den Daten der Cyberkriminellen an den Bank-Server geschickt wird.
  2. Der Bank-Server erzeugt die mTAN und sendet sie an das Smartphone des Benutzers.
  3. Die mobile Komponente des Trojaners fängt die SMS ab und sendet sie an die Cyberkriminellen, die damit die Überweisung autorisieren (z.B. indem sie sie an die zugehörige Desktop-Variante senden, die sie dann an den Bank-Server sendet).

Bei der Manipulation einer vom Benutzer eingegebenen Überweisung fällt dem Opfer die fehlende SMS auf. Aber dann ist es i.A. für eine Reaktion schon zu spät, zumal es ja nicht unüblich ist, dass eine SMS mal etwas später als erwartet eintrifft - und das gilt natürlich auch für die SMS der Banken. Bei Bedarf können die Cyberkriminellen die abgefangene SMS auch so manipulieren, dass sie die vom Benutzer eingegebenen Daten enthält, und diese SMS dann an das Opfer schicken. Der prüft die Daten, ist zufrieden, und gibt die mTAN ein.

Einfacher ist der Angriff, wenn der Trojaner auf dem Desktop-Rechner unabhängig vom Benutzer aktiv wird:

  1. Der Trojaner verwendet die ausgespähten Zugangsdaten zum Onlinebanking, um selbst eine Verbindung zum Bank-Server aufzubauen.
    Alternativ können die Cyberkriminellen auch das Onlinebanking von einem anderen Rechner aus nutzen.
  2. Der Bank-Server erzeugt die mTAN und sendet sie an das Smartphone des Benutzers.
  3. Die mobile Komponente des Trojaners fängt die SMS ab und sendet sie an die Cyberkriminellen, die damit die Überweisung autorisieren.

Da der Benutzer bei dieser Variante keine Überweisung in Auftrag gegeben hat, vermisst er auch die SMS mit der mTAN nicht.

Grund zur Panik?

Zumindest bisher besteht kein Grund zur Panik. Bisher wird keine mobile Zeus-Variante als Drive-by-Infektion oder von infizierten Desktop-Rechnern verbreitet, es handelt sich "nur" um Trojaner. Aber die gibt es immerhin für alle verbreiteten und offenen Mobil-Plattformen, das iPhone ist durch seinen abgeschotteten App-Store ziemlich gut vor Schadsoftware geschützt, sofern die keine Schwachstelle im System ausnutzt. Eine Version für gejailbreakte iPhones wäre allerdings möglich, und die wird sicher früher oder später auch noch kommen, warum sollten sich die Cyberkriminellen diesen Markt entgehen lassen?

Solange Sie nicht fahrlässig Programme installieren, besteht zur Zeit keine Gefahr. Eine absolute Sicherheit, niemals z.B. auf einen Social-Engineering-Trick herein zu fallen, gibt es allerdings nicht. Man muss eben vorsichtig sein. Kein Wunder, dass die Angst vor Betrug beim Online-Banking wächst. Die Idee, ein Smartphone für die Zwei-Faktor-Absicherung des Online-Bankings zu verwenden, ist allerdings suboptimal. Die chipTAN ist relativ sicher, allerdings muss man dafür den meist unsicheren Flash-Player installieren.

Nachdem auch diese Folge aus aktuellem Anlass ein anderes als das geplante Thema hatte, kann es in der nächsten Woche hoffentlich wieder wie geplant weitergehen. Wie bereits angekündigt, geht es in der nächsten Folge um die Beseitigung installierter Schadsoftware.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Zeus - Die Entwicklung eines Dauerbrenners
Zeus-Sourcecode im Internet aufgetaucht
Zeus wird mobil - jetzt auch auf Android
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Passwort, P4ssw0rt, k1Gv3rJ8 - oder ist alles Käse?

Vorschau anzeigen
Wie ein gutes Passwort gebildet wird, weiß wohl jeder: Mindestens 8 Zeichen, Groß- und Kleinbuchstaben und Zahlen gemischt, gerne auch ein Sonderzeichen, ... Regeln gibt es viele, wie man so ein "zufälliges" aber doch gut merkbare

Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN

Vorschau anzeigen
Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt. TAN-Listen tot, SMS-TAN angeschlagen Die herkömmliche

Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!

Vorschau anzeigen
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Vorschau anzeigen
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS

Vorschau anzeigen
Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter

Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 3.2014 - Androids Sicherheit aus Forschersicht

Vorschau anzeigen
Im Magazin Mobile Technology 3.2014 ist ein Artikel über die Vorträge zu Android auf den Sicherheitskonferenzen erschienen. "IT-Sicherheit" ist allgemein ein sehr dynamischer Bereich, und Android macht da keine Ausnahme. Neue Technol

Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

Vorschau anzeigen
Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones". Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: W