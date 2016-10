Ein Android-Schädling bittet seine Opfer inklusive Personalausweis vor die Kamera.

Der Android-Banking-Trojaner Acecard gibt sich auf infizierten Geräten nicht mehr mit dem Abziehen von Kreditkarten-Daten und Codes einer Zwei-Faktor-Authentifizierung zufrieden: Neuerdings fordert er seine Opfer auf, ein Selfie mit Personalausweis zu machen, berichten Sicherheitsforscher von McAfee.

Der Schädling soll den Sicherheitsforschern zufolge ausschließlich in App-Stores von Drittanbietern auftauchen und sich als Erotik-Video-App beziehungsweise als ein zum Abspielen nötiger Codec ausgeben. Damit er sein Schadenswerk anrichten kann, fordert er weitreichende Berechtigungen ein, die ein Opfer abnicken muss.



Der Banking-Trojaner Acecard soll ein Selfie inklusive Personalausweis einfordern.

Bild: McAfee

Dreister geht immer

Das auf die Spitze getriebene Social Engineering unterteilt sich in zwei Schritte: Zuerst soll man "saubere und lesbare" Fotos von der Vor- und Rückseite des Personalausweises hochladen. Anschließend fordert der Trojaner noch ein Selfie mit dem Dokument ein, erläutert McAfee.

Beim Interface haben sich die Betrüger viel Mühe gegeben: Die Phishing-Bildschirme mit den Eingabefeldern für Kreditkarten-Daten sehen legitim aus und tarnen sich als Google-Play-Aufforderung. Der Prozess zum Aufnehmen der Bilder kommt als Step-by-Step-Anleitung inklusive Bebilderung daher.

Kompletter Identitäts-Diebstahl?

Ob die Kriminellen mit den Selfies Online-Legitimationsverfahren überlisten können, ist fraglich. Etwa die Deutsche Post bietet Kunden im Zuge von Postident an, sich online via Video-Chat gegenüber einem Post-Mitarbeiter auszuweisen. Auch der IDnow-Service offeriert ein Video-basiertes Online-Legitimationsverfahren für verschiedene Banken – so kann man etwa ein Konto eröffnen. Mit Fotos kommt man da nicht weit, zudem stellen die Mitarbeiter am anderen Ende der Kamera Fragen.

Auch biometrische Legitimationsverfahren bei Online-Zahlungen lassen sich wahrscheinlich nicht über ein einfaches Selfie austricksen. Zwar bietet etwa Mastercard den Service, am Smartphone getätigte Online-Zahlungen mit einem Fingerabdruck oder Selfie zu bestätigen, doch entscheidet man sich für das Selfie, muss man zusätzlich noch in die Kamera blinzeln. (des)