ZertSecurity: Banking-Trojaner war 30 Tage im Google Play Store
von caschy | 11 Kommentare
Es ist noch nicht lange her, da berichteten diverse Medien über ZertSecurity-Mails. Als Absender agierte angeblich die Postbank, die „mitteilte“, dass man neue Zertifikate für das Banking installieren müsse. Diese Mails machten eigentlich nichts, wenn man sie auf dem PC oder dem iPhone öffnete, lediglich Android-Smartphones konnte diese spezielle Webseite etwas anhaben.
Wer den Anweisungen dieser Seite folgte, der jubelte sich selber einen Banking-Trojaner unter. Schön doof – möchte man meinen – doch es wird sicherlich viele Menschen geben, die auf diese Masche reinfielen.
[werbung]
Schlimmer ist hingegen, dass eine solche App nicht nur via Phishing ihr Unwesen treibt, sondern mal wieder knapp 30 Tage bei Google Play zu finden war, dort aber nicht einmal 100 Downloads vermelden konnte. Gemeldet haben dies die Sicherheits-Experten von Lookout. Was die App macht? Im Gegensatz zu den meisten anderen Banking-Trojanern wie „Zeus“ ist ZertSecurity selbständig und hat kein dazugehöriges Desktop-Pendant. Vielmehr greift ZertSecurity alle benötigten Informationen mit einem einfachen Formular selbst ab. So fordert ZertSecurity den Nutzer auf, seine Kontonummer und den dazugehörigen PIN-Code einzugeben, die für den Online-Banking-Login benötigt werden.
Die Malware speichert diese Daten in ihrer Konfigurationsdatei und sendet eine Kopie an den Kommando-Server. Während die Malware läuft, sendet sie auch die Inhalte aller eingehenden SMS an die C&C-Server und unterdrückt die Anzeige dieser SMS auf dem infizierten Gerät, indem sie einen SMS-Receiver mit sehr hoher Priorität registriert. Dadurch ist die Malware in der Lage, die SMS zu empfangen, bevor irgendeine andere Anwendung die Möglichkeit dazu hat. So kann die App auf das Online-Banking zugreifen, Überweisungen tätigen und die Zwei-Faktor-Authentisierung per mTAN aushebeln.
Die Schad-App wurde mittlerweile von Google entfernt. Man fährt das Risiko schon immens herunter, wenn man in offiziellen Quellen sucht und vorab noch ein wenig auf die Download-Zahlen nebst Bewertung im Google Play Store achtet. Sicherheits-Software schützt nicht immer, achtet immer auf eine halbwegs aktuelle Brain.apk auf eurem Android-Smartphone 🙂 Androids Offenheit bringt nicht nur unfassbare Vorteile, sondern manchmal eben auch solche Nachteile.
Wird geladen ...
Nennt mich verblendet, aber was zum Teufel hat eine App in SMS zu suchen?
Wer bei Android war so dumm und hat irgendwann gemeint, dass es nützlich sei wenn man Apps Zugriff auf SMS geben würde?
Ganz ehrlich? Wenn man nicht genügend Grips hat sich vor solchen „Angriffen“ mit gesundem Menschenverstand zu schützen, dann sollte man einfach kein OnlineBanking nutzen.
@Bernd
Sorry das ich das so sage aber du scheinst wohl der dumme zu sein denn du hast wohl nicht wirklich Ahnung von dem was du redest. Apps die nunmal Mit SMS arbeiten brauchen nunmal auch Rechte um auf diese zuzugreifen. Oder wie sollen sonst die SMS-Ersatz apps ala handcent usw funktionieren ? Oder apps die mehrere Quellen vereinen. SMS und andere Nachrichtendienste.
Wo bekomm ich denn ein Update für meine Brain.apk? Meine ist noch aus dem Jahre 1994..
@Bernd: Das ist ja der Vorteil an Android: Alles ist schnittstellenbasiert. Ich kann bspw. die SMS – Anwendung gegen eine andere austauschen. Oder die Telefon – Anwendung. Oder den Kalender, oder, oder, oder…
@Waldhuette: ich denke nicht, dass ich dumm bin. Android ist hier die einzige Plattform die derart offen ist.
Ich kann Mithrandir auch folgen. Ich weiß, dass die Offenheit ein großer Vorteil ist. Aber eine offene Plattform heißt nicht, dass man nun einfach an andere Daten herankommen muss. Linux ist offen, trotzdem gibt es keine Schnittstellen, die — ohne weiteres — Zugriff auf deinen Thunderbird und den Posteingang lassen.
Ein App sollte zuerst keinen Zugriff auf private Daten haben. Wenn ein solcher Zugriff von Nöten ist, dann muss dies explizit gestattet werden und da darf man den Nutzer einmalig ruhig mit mehreren Popups nerven, damit er es versteht.
Waldhuette, WhatsApp funktioniert unter iOS ja auch. Dort reichen die Telefonnummer, die man per Nachfrage aus dem Telefonbuch bekommt. Klar, oft will man komplett SMS ersetzen, aber das ist ja nicht das Problem.
Das Problem ist, dass der Zugriff viel zu einfach ist bei Android. Der normale Nutzer merkt nicht, dass ein Programm auf sensible Daten im Telefon zugreift.
Ich finde die iOS Lösung nicht unbedingt besser, aber sie schützt den Nutzer um ein Vielfaches besser.
RIM, MS und die anderen haben es ja auch verstanden. Mich würde es ehrlich gesagt wudnern, wenn selbst Firefox OS solche Dummheiten zulässt.
Man darf als Nutzer einfach nicht erwarten das Google oder Microsoft/Apple einen vor allen Gefahren schützt. Wenn man eine App installiert wird einem dick und fett gesagt welche Berechtigungen diese App benötigt. Wenn man das ignoriert und dadurch zu Schaden kommt ist das das Problem des Users und nicht das von Google. Wir müssen weg von der „mir hat niemand gesagt das das gefährlich ist“ Mentalität denn die ist das einzig Dumme. Ich finde nicht das Apple oder Microsoft da „keine Dummheit“ gemacht haben sondern eher das Gegenteil.
Da muss ich Waldhuette echt zustimmen.
Auch weil es ja sowieso keine 100% Sicherheit gibt, auch wenn man sich sehr vorsichtig verhält kann es aber auch mal passieren, dass man sich einen Virus holt. Wenn man nicht darauf achtet was man sich wie herunterlädt, und welche Berechtigungen man erlaubt, dann sollte man sich ein wenig informieren.
Bernd schrieb: „Ein App sollte zuerst keinen Zugriff auf private Daten haben. Wenn ein solcher Zugriff von Nöten ist, dann muss dies explizit gestattet werden und da darf man den Nutzer einmalig ruhig mit mehreren Popups nerven, damit er es versteht.[…] Das Problem ist, dass der Zugriff viel zu einfach ist bei Android.“
Google sieht es seit Android 4.2 genauso und hat die potentiell kosten verursachenden Berechtigung sowohl bei der Installation hervorgehoben, als auch bei der Verwendung der Berechtigung (z.B. SMS verschicken) ein Bestätigungs-PopUp (ablehnen, zulassen, immer zulassen (erst mit zusätzlichem Häckchen auswählbar)) vorgeschoben.
Leider ist somit das eigentliche Problem, die miese Updatepolitik der Handyhersteller, denn 2,3% Verbreitung (http://stadt-bremerhaven.de/android-versionen-aktuelle-verteilung) ist ja verschwindend gering.
Nur schade, dass man die App noch so lange aus dem App Store beziehen konnte !
Ist das jetzt ne E-Mail oder ne App gewesen? Der Artikel behauptet an verschieden stellen beides…