[h=1]Millionenschaden durch mTAN-Betrug[/h]
Bis zu 36 Millionen Euro sollen von über 30.000 Bankkunden mit dem Trojaner Zeus in the Mobile (ZitMO) gestohlen worden sein, allein 13 Millionen davon in Deutschland. Kaspersky Lab hatte bereits vor einigen Monaten über Zeus in the Mobile berichtet, mit ihrer Studie (PDF-Datei) konkretisieren die Software- und Sicherheitsfirmen Versafe und Check Point Software Technologies nun die Informationen zu ZitMO und beschreiben seinen Wirkungsbereich. Sie geben der "Angriffs-Kampagne" den Namen "Eurograbber".
Der Ausgangspunkt der Betrügereien ist ein infizierter (Windows-)PC. 
Bild: Versafe & Check Point (PDF-Datei) Die Opfer der Eurograbber-Kampagne sollen allesamt aus Europa stammen, Versafe und Check Point schließen aber nicht aus, dass es auch außerhalb der Eurozone ähnliche Attacken gibt. Die Kampagne soll in Italien begonnen und sich dann über Deutschland, Spanien und Holland ausgebreitet haben. Für die Angriffe wurden zunächst PCs und dann die mobilen Geräte der Opfer mit Trojanern infiziert, um die Mehrfach-Authentifizierungen der Banken auszutricksen.
Die auf infizierten Windows-PCs installierten Schadprogramme überwachten und manipulierten dazu die Online-Banking-Sitzungen ihrer Opfer. In diesem scheinbar vertrauenswürdigen Umfeld baten sie um Nummer und Typ des Handys für die Installation eines wichtigen Sicherheitsupdates. Wer das anschließend an die Handynummer geschickte, angebliche Update installierte, fing sich damit einen Trojaner ein, der zukünftig mobile TANs (mTAN) klaute und an die Betrüger weiterleitete. Die abgegriffenen Daten wurden auf kompromittierten Servern gespeichert; um die geheim zu halten, wechselten die Angreifer gelegentlich Server und Domain-Namen.
Die Kunden werden nach der Infektion um die Installation eines Sicherheitsupdates gebeten.
Bild: Versage & Check Point (PDF-Datei) Der Trojaner wurde für Android- und Blackberry geschrieben; eine iOS-Variante gibt es offenbar nicht. Durch die wachsende Verbreitung von Android-Betriebssystemen ist die Reichweite des ZitMO dementsprechend groß.
Die Abbuchungen von den Konten der Opfer belaufen sich laut Versafe und Check Point auf 500 bis zu 250.000 Euro. Die Angreifer sollen bei ihren Überweisungen auch Dispolimits ausgeschöpft haben. Die Schadenssumme von 36 Millionen Euro ist bisher von keinem anderen Dienst bestätigt worden. Gegenüber heise Security gab die Berliner Polizei noch Mitte November an, dass die Anzahl von eingegangenen Strafanzeigen zu mutmaßlichen ZitMo-Angriffen im einstelligen Bereich liege. Eine mögliche Erklärung für die hohe Summe könnte sein, dass die Forscher die Protokolle der Server ausgewertet und daraus eine Schadenssumme hochgerechnet haben, ohne dabei zu berücksichtigen, dass nicht alle Betrugsversuche auch tatsächlich erfolgreich sind. ("[email protected]")
[h=1]Online-Banking-Trojaner mit Android-Komplizen[/h]
Online-Ganoven versuchen offenbar verstärkt auch die Smartphones von Online-Banking-Nutzern zu infizieren, um mTans abzugreifen. Bei der Berliner Polizei sind "in den letzten Wochen" mehrere Strafanzeigen von Opfern betrügerischer Geldabbuchungen eingegangen, bei denen die Smartphones der Opfer eine entscheidende Rolle spielten.
Zunächst infizieren die Abzocker den Rechner mit einem Trojaner, der die Zugangsdaten zum Online-Banking-Portal der Bank ausspäht. Darüber hinaus zeigt die Malware einen vermeintlichen Warnhinweis der Bank an, laut dem der Kunde unbedingt ein wichtiges Sicherheitsupdate auf seinem Smartphone installieren müsse. Hierzu fragt der Trojaner die Handynummer des Opfers in spe ab.
Anschließend verschicken die Kriminellen einen Link per SMS an das Handy, die den Link zum vermeintlichen Sicherheitsupdate enthält. Bei dem Fake-Update handelt es sich in Wahrheit um einen Android-Trojaner, der eingehende SMS überwacht und an eine andere Rufnummer weiterleitet, sofern er eine mTan darin entdeckt.
Mit den geklauten Zugangsdaten haben die Gauner Überweisungen angestoßen, die sie mit den weitergeleiteten mTans autorisieren konnten. Laut Polizei haben die Täter die Konten nicht nur komplett leer geräumt, sondern auch den Überziehungsrahmen ausgenutzt. Die Rückbuchung sei nicht mehr möglich gewesen.
Gegenüber heise Security gab die Berliner Polizei an, dass die Anzahl der eingegangenen Strafanzeigen im einstelligen Bereich liegt. Welche Malware die Betrüger einsetzten, gab die Polizei nicht bekannt. Das beschrieben Vorgehen könnte etwa zu dem Online-Banking-Trojaner ZeuS und seinem mobilen Abkömmling "Zeus in the Mobile" (ZitMo) passen. ("[email protected]")
Quelle: Heise.de
Gruß: Homer