Der Android-Banking-Trojaner Acecard gibt sich auf infizierten Geräten nicht mehr mit dem Abziehen von Kreditkarten-Daten und Codes einer Zwei-Faktor-Authentifizierung zufrieden: Neuerdings fordert er seine Opfer auf, ein Selfie mit Personalausweis zu machen, berichten Sicherheitsforscher von McAfee.
Weiterlesen nach der Anzeige
Der Schädling soll den Sicherheitsforschern zufolge ausschließlich in App-Stores von Drittanbietern auftauchen und sich als Erotik-Video-App beziehungsweise als ein zum Abspielen nötiger Codec ausgeben. Damit er sein Schadenswerk anrichten kann, fordert er weitreichende Berechtigungen ein, die ein Opfer abnicken muss.
Der Banking-Trojaner Acecard soll ein Selfie inklusive Personalausweis einfordern.
Das auf die Spitze getriebene Social Engineering unterteilt sich in zwei Schritte: Zuerst soll man "saubere und lesbare" Fotos von der Vor- und Rückseite des Personalausweises hochladen. Anschließend fordert der Trojaner noch ein Selfie mit dem Dokument ein, erläutert McAfee.
Beim Interface haben sich die BetrĂĽger viel MĂĽhe gegeben: Die Phishing-Bildschirme mit den Eingabefeldern fĂĽr Kreditkarten-Daten sehen legitim aus und tarnen sich als Google-Play-Aufforderung. Der Prozess zum Aufnehmen der Bilder kommt als Step-by-Step-Anleitung inklusive Bebilderung daher.
Kompletter Identitäts-Diebstahl?
Ob die Kriminellen mit den Selfies Online-Legitimationsverfahren überlisten können, ist fraglich. Etwa die Deutsche Post bietet Kunden im Zuge von Postident an, sich online via Video-Chat gegenüber einem Post-Mitarbeiter auszuweisen. Auch der IDnow-Service offeriert ein Video-basiertes Online-Legitimationsverfahren für verschiedene Banken – so kann man etwa ein Konto eröffnen. Mit Fotos kommt man da nicht weit, zudem stellen die Mitarbeiter am anderen Ende der Kamera Fragen.
Weiterlesen nach der Anzeige
Auch biometrische Legitimationsverfahren bei Online-Zahlungen lassen sich wahrscheinlich nicht über ein einfaches Selfie austricksen. Zwar bietet etwa Mastercard den Service, am Smartphone getätigte Online-Zahlungen mit einem Fingerabdruck oder Selfie zu bestätigen, doch entscheidet man sich für das Selfie, muss man zusätzlich noch in die Kamera blinzeln.
(des)
Über 90.000 Leser vertrauen bereits darauf – wählen Sie jetzt Ihr passendes Paket!
Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.
