Zeus wird mobil - jetzt auch auf Android
Eine neue Variante von Zeus infiziert Android-Smartphones. Damit gibt es für alle verbreiteten und offenen Mobil-Systeme eine Zeus-Variante: Symbian, BlackBerry und Windows Mobile. Beschreibungen der neuen Variante gibt es z.B. von Fortinet, Kaspersky, McAfee, Sophos und Trusteer.
Verbreitung als Trojaner
Verbreitet wird der Schädling als Trojaner. Das Programm erweckt den Anschein, es sei eine Version des Sicherheits-Tools Rapport von Trusteer, dass Man-in-the-Middle-Angriffe und Man-in-the-Browser-Schädlinge abwehren soll. Auf einem mit Zeus infizierten (Desktop-)Rechner wird der Benutzer aufgefordert, dieses Tool zu installieren, wobei er die Wahl zwischen Versionen für iOS, BlackBerry, Android, Symbian und "andere" hat. Wobei es in diesem Fall nur eine Android-Version gibt, bei Auswahl eines anderen Systems geht der Benutzer leer aus. Der Trojaner wurde außerdem unter dem Namen "TrustMobile" über den Android Marke verbreitet, dort aber bereits von Google gelöscht.
Vor der
Installation
zeigt Android die angeforderten Rechte an, in diesem Fall
RECEIVE_SMS
, INTERNET
und
READ_PHONE_STATE
. Die sind nicht weiter verdächtig.
Würde es sich wirklich um das vorgetäuschte Tool handeln,
würde es diese Rechte ebenfalls benötigen.
RECEIVE_SMS
ist angeblich nötig, um eine für eine
Zwei-Faktor-Authentifizierung benötigte SMS empfangen zu können.
Der Schädling besteht aus drei Komponenten: Eine Activity, die beim Klick auf das zugehörige Icon gestartet wird, einem in Hintergrund laufenden Service und einer Klasse namens SmsReceiver, die bei jedem SMS-Empfang ausgeführt wird.
Die Activity täuscht eine Benutzeroberfläche für Rapport vor und wird im Rahmen eines Phishing-Angriffs eingesetzt: Das Programm gibt einen angeblichen "activation key" aus, der auf der (gefälschten) Bank-Website eingegeben werden soll. Tatsächlich handelt es sich dabei um die IMEI (International Mobile Equipment Identity) des infizierten Smartphones.
Nach der Installation wird bei jedem SMS-Empfang der Code in der Klasse SmsReceiver ausgeführt, der IMEI, Absender-Adresse und SMS-Inhalt an einen Server der Cyberkriminellen weiterleitet.
Ist es wirklich Zeus?
Sowohl bei McAfee als auch bei Sophos ist man nicht sicher, ob der Schädling wirklich zu Zeus gehört. Von Sophos wird der Trojaner bereit seit einiger Zeit als Andr/SMSRep-B erkannt.
Für die Zugehörigkeit zu Zeus spricht die Tatsache, dass der Trojaner von einer Desktop-Variante von Zeus verbreitet und von einem Server geladen wird, der Zeus-Varianten verbreitet. Gegen die Zugehörigkeit zu Zeus sprechen einige Punkte:
- Der Schädling ist nicht besonders ausgefeilt und kann nur alle SMS abfangen und umleiten. Der Zielserver ist als Klartext im Code enthalten, die übertragenen Daten werden nicht verschlüsselt, der Programmcode ist nicht getarnt. Das ist für Zeus eigentlich unüblich, dort legt man normalerweise Wert auf Sicherheit.
- Es werden alle SMS weitergeleitet, es gibt keine Einschränkung
auf SMS mit mTANs oder SMS von bestimmten Banken. Das erschwert die
Auswertung durch die Cyberkriminellen, die ja die mTAN in Echtzeit mit den
zugehörigen Benutzerdaten verknüpfen müssen. Außerdem
dürfte das Opfer früher oder später misstrauisch werden, da
es ja überhaupt keine SMS mehr erhält. Die zuvor entdeckten
mobilen Zeus-Varianten waren in dieser Hinsicht besser getarnt, da sie nur
die mTAN-SMS oder nur SMS bestimmter Banken abfingen, alle anderen SMS den
Benutzer aber ganz normal erreichten.
Es ist allerdings auch möglich, dass die Cyberkriminellen es in diesem Fall nur auf das Fälschen einer einzigen Überweisung abgesehen haben und darüber hinaus einfach nur mal sehen wollen, was es sonst noch interessantes auszuspähen gibt. Fliegt der Trojaner nach der ersten gefälschten Überweisung auf, hätte er sein Ziel trotzdem erreicht. - Es gibt keinerlei Command&Control-Funktionen, die Cyberkriminellen können weder den Server zum Sammeln der SMS ändern noch die Funktion des Trojaners beeinflussen. Die zuvor entdeckten mobilen Zeus-Varianten für Symbian, BlackBerry und Windows Mobile nahmen Verbindung mit einem Command&Control-Server auf und waren konfigurierbar.
Unabhängig von der möglichen Zeus-Variante hat Trend Micro einen weiteren Trojaner entdeckt, der ebenfalls SMS weiterleitet. Auf welche Daten dieser ANDROIDOS_CRUSEWIN.A genannte Schädling angesetzt werden soll, ist nicht bekannt. Evtl. haben die Zeus-Entwickler ja "ihren" Android-Trojaner von Dritten entwickeln entwickeln lassen.
So funktioniert der Online-Bankraub
Grob vereinfacht läuft das normale Onlinebanking mit mTAN in folgenden Schritten ab:
- Der Benutzer gibt die Daten der Überweisung auf der Onlinebanking-Website ein und schickt das Formular ab.
- Der Bank-Server verwendet einige der Daten, z.B. Kontonummer und Betrag, um eine nur für diese Überweisung gültige mTAN zu generieren und sendet die mTAN zusammen mit den relevanten Daten als SMS an das Smartphone des Benutzers.
- Der Benutzer prüft, ob die zurückgelieferten Daten mit den eingegebenen überein stimmen. Ist alles in Ordnung, gibt er die mTAN auf der Onlinebanking-Website ein und autorisiert damit die Überweisung.
Der Onlinebanking-Trojaner, also z.B. Zeus, kann diesen Ablauf auf verschiedene Arten manipulieren, z.B. als "Man in the Browser":
- Der Trojaner manipuliert die Benutzereingaben so, dass eine Überweisung mit den Daten der Cyberkriminellen an den Bank-Server geschickt wird.
- Der Bank-Server erzeugt die mTAN und sendet sie an das Smartphone des Benutzers.
- Die mobile Komponente des Trojaners fängt die SMS ab und sendet sie an die Cyberkriminellen, die damit die Überweisung autorisieren (z.B. indem sie sie an die zugehörige Desktop-Variante senden, die sie dann an den Bank-Server sendet).
Bei der Manipulation einer vom Benutzer eingegebenen Überweisung fällt dem Opfer die fehlende SMS auf. Aber dann ist es i.A. für eine Reaktion schon zu spät, zumal es ja nicht unüblich ist, dass eine SMS mal etwas später als erwartet eintrifft - und das gilt natürlich auch für die SMS der Banken. Bei Bedarf können die Cyberkriminellen die abgefangene SMS auch so manipulieren, dass sie die vom Benutzer eingegebenen Daten enthält, und diese SMS dann an das Opfer schicken. Der prüft die Daten, ist zufrieden, und gibt die mTAN ein.
Einfacher ist der Angriff, wenn der Trojaner auf dem Desktop-Rechner unabhängig vom Benutzer aktiv wird:
- Der Trojaner verwendet die ausgespähten Zugangsdaten zum
Onlinebanking, um selbst eine Verbindung zum Bank-Server aufzubauen.
Alternativ können die Cyberkriminellen auch das Onlinebanking von einem anderen Rechner aus nutzen. - Der Bank-Server erzeugt die mTAN und sendet sie an das Smartphone des Benutzers.
- Die mobile Komponente des Trojaners fängt die SMS ab und sendet sie an die Cyberkriminellen, die damit die Überweisung autorisieren.
Da der Benutzer bei dieser Variante keine Überweisung in Auftrag gegeben hat, vermisst er auch die SMS mit der mTAN nicht.
Grund zur Panik?
Zumindest bisher besteht kein Grund zur Panik. Bisher wird keine mobile Zeus-Variante als Drive-by-Infektion oder von infizierten Desktop-Rechnern verbreitet, es handelt sich "nur" um Trojaner. Aber die gibt es immerhin für alle verbreiteten und offenen Mobil-Plattformen, das iPhone ist durch seinen abgeschotteten App-Store ziemlich gut vor Schadsoftware geschützt, sofern die keine Schwachstelle im System ausnutzt. Eine Version für gejailbreakte iPhones wäre allerdings möglich, und die wird sicher früher oder später auch noch kommen, warum sollten sich die Cyberkriminellen diesen Markt entgehen lassen?
Solange Sie nicht fahrlässig Programme installieren, besteht zur Zeit keine Gefahr. Eine absolute Sicherheit, niemals z.B. auf einen Social-Engineering-Trick herein zu fallen, gibt es allerdings nicht. Man muss eben vorsichtig sein. Kein Wunder, dass die Angst vor Betrug beim Online-Banking wächst. Die Idee, ein Smartphone für die Zwei-Faktor-Absicherung des Online-Bankings zu verwenden, ist allerdings suboptimal. Die chipTAN ist relativ sicher, allerdings muss man dafür den meist unsicheren Flash-Player installieren.
Nachdem auch diese Folge aus aktuellem Anlass ein anderes als das geplante Thema hatte, kann es in der nächsten Woche hoffentlich wieder wie geplant weitergehen. Wie bereits angekündigt, geht es in der nächsten Folge um die Beseitigung installierter Schadsoftware.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus
-
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Zeus - Die Entwicklung eines Dauerbrenners
- Zeus-Sourcecode im Internet aufgetaucht
- Zeus wird mobil - jetzt auch auf Android
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Passwort, P4ssw0rt, k1Gv3rJ8 - oder ist alles Käse?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 3.2014 - Androids Sicherheit aus Forschersicht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones
Vorschau anzeigen