Internet-Kommunikation Bankraub 3.0: Android-Geräte ausspioniert

Wer die Anweisungen dieser gefälschten Webseite befolgt, macht es Cyber-Kriminellen leicht.
Wer die Anweisungen dieser gefälschten Webseite befolgt, macht es Cyber-Kriminellen leicht.

Cyber-Bankräuber haben es aktuell auf Android-Mobilgeräte abgesehen, um mTAN- und PIN-Nummern für Online-Bankkonten auszuspionieren. Hierzu versuchen die Kriminellen mit Hilfe einer angeblichen Postbank-Mail die Nutzer zur Installation einer »SSL Zertifikat App« zu bewegen. Doch folgt man den Anweisungen, droht erhebliche Gefahr.

Wird nämlich der eingebundene Link über das Mobilgerät geöffnet, gelangt der Nutzer auf eine Webseite, auf der die angebliche Banking-Sicherheits-App und eine Installationsanleitung zu finden sind.

Die Installation der Anwendung führt allerdings nicht zur versprochenen Absicherung beim Online-Banking, sondern das Schadprogramm späht die mTAN- und PIN-Nummern aus und leitet diese an die Cyber-Bankräuber weiter. Die gestohlenen Daten können von den Tätern für die Manipulation von Online-Transaktionen und Bankgeschäften eingesetzt werden. Dies haben die Spezialisten der G Data Software AG herausgefunden.

Details dazu: Nach der Installation der App verlangt die Anwendung vom Nutzer die Eingabe der Kontonummer und PIN-Nummern. Darüber hinaus fordert das Programm eine Reihe von Berechtigungen ein, die u.a. den Zugriff auf empfangene SMS-Nachrichten erlaubt. Die Täter sind so in der Lage, Daten zu stehlen, die für Online-Bankgeschäfte benötigt werden. Die Cyber-Bankräuber sind so in der Lage Überweisungsvorgänge zu manipulieren.

 Der Grund, der diese kriminelle Ausspäh-Variante möglich macht: Beim Zwei-Wege-Authentifizierungsverfahren kommen immer häufiger auch Smartphones und Tablet-PCs zum Einsatz - natürlich auch Geräte mit dem Android-Betriebssystem. Bei diesem Verfahren wird die Transaktionsnummer (TAN) von der Bank per SMS zum Smartphone oder Tablet gesendet. Für die Bankräuber 3.0. sind diese Geräte daher lohnende Angriffsziele, da viele Anwender auf eine umfassende Absicherung für ihr Mobilgerät verzichten.