Kaspersky Lab hat eine neue Modifikation des bekannten mobilen Banking-Trojaners Faketoken [1] entdeckt. Die Schädlingsvariante wurde für den Diebstahl von Zugangsdaten beliebter Taxi-Apps entwickelt.

Der Markt für mobile Apps wächst. Das Problem: Immer mehr Dienstleistungen, beispielsweise Taxi- und Mitfahrgelegenheitsdienste, fordern vertrauliche Finanzinformationen wie Kreditkartendaten. Die Apps – millionenfach weltweit auf Android-Geräten installiert – werden so zum lukrativen Ziel von Cyberkriminellen, die die Funktionalität mobiler Banking-Malware signifikant ausgebaut haben.

Mit der neuen Version von Faketoken lässt sich ein Live-Tracking von Apps durchführen; nutzt der Anwender eine bestimmte App, können über ein Display-Overlay eines Phishing-Fensters zielgerichtet Kreditkartendetails gestohlen werden. Der Trojaner verfügt über eine identische Oberfläche, mit demselben Farbschema und denselben Logos. Das Display-Overlay ist somit vom Originalfenster nicht zu unterscheiden. Die Untersuchungen von Kaspersky Lab zeigen, dass die Kriminellen die international beliebtesten Taxi- und Mitfahrgelegenheitsdienste mit ihrer Malware im Visier haben.

Zudem ist der Trojaner in der Lage, eingehende SMS abzufangen, indem er diese zu den mit ihm verbundenen Command-and-Control-Servern weiterleitet. So gelangen die Cyberkriminellen in den Besitz des von der Bank einmalig versendeten Verifizierungspassworts oder anderen Nachrichten, die vom Taxi- oder Mitfahrgelegenheitsdienste versendet werden. Darüber hinaus kann die neue Faketoken-Modifikation die Anrufe des Nutzers überwachen und mitschneiden sowie Daten an die ihm angeschlossenen Command-and-Control-Server übertragen.

„Da Cyberkriminelle ihre Aktivitäten vom Finanzbereich auf weitere Bereiche wie Taxi- und Mitfahrgelegenheitsdienste ausgedehnt haben, sollten Entwickler solcher Dienste damit beginnen, mehr Aufmerksam auf den Schutz ihrer Nutzer zu legen“, so Viktor Chebyshev, Sicherheitsexperte bei Kaspersky Lab. „Der Finanzbereich ist inzwischen mit den Betrugsmaschen und Tricks vertraut; die Antwort darauf war die Implementierung von Sicherheitstechnologien in Apps, die das Risiko eines Diebstahls von kritischen Daten signifikant reduzierten. Daher ist es wohl auch für andere Dienste, die mit finanziellen Daten zu tun haben, an der Zeit diesem Beispiel zu folgen. Die neue Version von Faketoken hat überwiegend russische Nutzer zum Ziel. Dennoch kann sich die Geografie der Attacken schnell ausweiten, so wie es auch bei den Vorgängerversionen von Faketoken und anderer Finanzmalware bereits der Fall war.“

Faketoken – ein alter Bekannter

Bereits im vergangen Jahr berichtete Kaspersky Lab von einer Modifikation von Faketoken [2], die weltweit mehr als 2.000 Finanz-Apps angriff, indem sie sich ebenfalls mittels der Overlay-Methode als unterschiedliche Programme und Spiele tarnte und oftmals den Adobe Flash Player imitierte. Seitdem wurde Faketoken stetig weiterentwickelt und die Fähigkeiten weiter ausgebaut.

Zudem wurden Faketoken-Attacken auf weitere beliebte mobile Anwendungen zur Reise- und Hotelbuchung, Zahlung von Verkehrsbußgeldern sowie Android Play und den Google Play Market registriert.

Die Experten von Kaspersky Lab empfehlen zum Schutz vor dem Faketoken-Trojaner und anderer Malware, keine Apps aus unbekannten Quellen herunterzuladen und eine robuste Sicherheitslösung [3] auf dem Gerät zu verwenden.

Booking a Taxi for Faketoken

The Trojan-Banker.AndroidOS.Faketoken malware has been known about for already more than a year. Throughout the time of its existence, it has worked its way up from a primitive Trojan intercepting mTAN codes to an encrypter. Not so long ago, thanks to our colleagues from a large Russian bank, we detected a new Trojan sample, Faketoken.q, which contained a number of curious features.

Legende