Android-Sicherheit

mTAN-Diebstahl durch App

von - 28.04.2013
Android-Sicherheit: mTAN-Diebstahl durch App
Foto: Gdata
Eine angeblich von der Postbank stammende Mail fordert Nutzer von Android-Mobilgeräten zur Installation einer SSL-Zertifikats-App auf. Die App spioniert mTAN- und PIN-Nummern aus und versendet sie.
Nutzern von Android-Mobilgeräten, die auf Geheiß einer angeblich von der Postbank stammenden Mail eine ebenso angebliche Sicherheits-App installiert haben, droht Ungemach: Anstelle des vorgegebenen Sicherheitszertifikats handelt es sich um eine Spionage-App. Damit wird das Zweiwege-Authentifizierungsverfahren der Bank ausgehebelt.
Die Angreifer haben es aktuell auf mTAN- und PIN-Nummern für Online-Bankkonten von Postbank-Kunden abgesehen. Hierzu versuchen sie mit Hilfe einer Postbank-Mail die Empfänger zur Einrichtung der „SSL Zertifikat App“ zu bewegen. Folgt der Anwender dem in der E-Mail enthaltenen Link auf dem Smartphone oder Tablet, gelangt man auf eine Webseite, auf der die vermeintliche SSL-Zertifikats-App und eine Installationsanleitung bereitstehen. Die schädliche Anwendung, die angeblich für mehr Sicherheit beim mobilen Online-Banking sorgen soll, späht nach der Installation die zur Absicherung von Bank-Transaktionen verwendeten mTAN- und PIN-Nummern aus und versendet sie über das Internet.
Nach der Installation der App verlangt diese vom Nutzer die Eingabe der Konto- und PIN-Nummer. Darüber hinaus fordert die App eine Reihe von Berechtigungen ein, die etwa den Zugriff auf empfangene SMS-Nachrichten erlaubt. Die Empfänger der Daten sind so in der Lage, Online-Bankgeschäfte zu manipulieren und bei Überweisungen Geldbeträge auf andere Konten umzuleiten.
Beim Zweiwege-Authentifizierungsverfahren kommen unter anderem auch Smartphones und Tablet-PCs zum Einsatz. Hierbei wird die Transaktionsnummer (TAN) von der Bank per SMS zum Smartphone oder Tablet gesendet. Für Angreifer sind diese Geräte daher ein lohnende Ziele, da viele Anwender auf eine Sicherheitslösung für ihr Mobilgerät verzichten.

Fazit

Die Masche ist nicht neu und trifft diesmal Kunden der Postbank. Geschützt ist, wer dem Grundsatz folgt, keine Links in angeblichen Mails von Banken, Kreditkarteninstituten und Zahlungsdiensten anzuklicken. Schutz bieten auch Sicherheits-Tools für Android, wie das des Herstellers Gdata, der als einer der ersten auf die aktuelle Postbankmasche aufmerksam.

Verwandte Themen