Banking-Trojaner ZeuS nimmt SMS-TAN-Verfahren ins Visier
Auf infizierten Geräten leitet der Banking-Trojaner eingehende SMS an Betrüger weiter. Mit den zuvor auf dem PC gestohlenen Zugangsdaten zum Konto und der TAN ist der Betrüger anschließend in der Lage, Überweisungen auf dem Konto vorzunehmen.
- Daniel Bachfeld
Neue Varianten des Banking-Trojaners ZeuS nehmen jetzt das SMS-TAN-Verfahren (beziehungsweise mobile TAN, mTAN) ins Visier, berichtet der Sicherheitsdienstleister S21sec in seinem Blog. Beim SMS-TAN-Verfahren werden Transaktionsnummern (TANs) für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann etwa eine Online-Überweisung legitimiert. Dieser zweite Übertragungskanal soll übliche Phishing- und Trojanerangriffe ins Leere laufen lassen. Das Verfahren lässt sich nämlich nur dann aushebeln, wenn der Anwender die in der SMS angegebenen Daten nicht sorgfältig prüft, sein Handy gestohlen wird oder das Gerät mit einem Trojaner infiziert ist, der die SMS an den Phisher weiterleitet.
Den letzten Weg haben nun die Entwickler von ZeuS implementiert, wobei sie mehrstufig vorgehen, um den Trojaner auf ein Gerät zu bekommen. Wichtigster Schritt bleibt weiterhin die Infektion eines Windows-PCs. Anschließend wird dem Opfer beim Aufruf einer Bankenseite eine nachgemachte Seite im Browser untergeschoben, die vorgibt, eine Sicherheitsaktualisierung für das Handy sei notwendig.
Dazu soll das Opfer seine Handynummer eingeben, um per SMS den Link zum Download zugesendet zu bekommen. Prompt verschickt der Trojaner über den infizierten PC eine SMS mit einem Link zu einem vermeintlich neuen Sicherheitszertifikat. Das soll der Anwender mit seinem Mobiltelefon herunterladen und installieren – eine Internetverbindung des Handys vorausgesetzt.
In der heruntergeladenen Datei steckt jedoch die Mobilversion von ZeuS, die alle eingehenden SMS analysiert und weiterleitet. Daneben führt es auch per SMS übermittelte Befehle aus. Laut S21sec gibt es eine Trojaner-Version für Symbian (.sis) und BlackBerry (.jad). Mit den zuvor bereits auf dem PC abgegriffenen Zugangsdaten zum Konto und der weitergeleiteten TAN ist der Betrüger schließlich in der Lage, Überweisungen auf dem Konto vorzunehmen. Bislang hat sich diese Variante von ZeuS aber offenbar noch nicht besonders weit verbreitet. Unabhängig davon zeigt es aber einen Weg, das SMS-TAN-Verfahren bei mehr oder minder unvorsichtigen Anwendern auszuhebeln. Vermutlich dürften weitere Trojaner-Entwickler bald auf diesen Zug aufspringen.
Derweil hat McAfee eine Analyse des Trojanerbaukastens "ZeuS Builder" in seinem Blog veröffentlicht, mit dem sich Kriminelle mit wenigen Klicks ihre maßgeschneiderte ZeuS-Version zusammenstellen können. Demnach ist ZeuS auch in der Lage, die Eingaben auf virtuellen Tastaturen mitzulesen, bei der man PINs und TANs nicht per Tastatur sondern per Mausklick eingibt. (dab)