Menü
Security

Banking-Trojaner-Infektion ohne Trojaner

Der Trojaner Retefe löscht sich direkt bei der Installation wieder. Durch einige schwer zu entdeckende Manipulationen am System kann er dem Anwender trotzdem einen Smartphone-Trojaner unterjubeln und das Online-Banking kapern.

Von
vorlesen Drucken Kommentare lesen 243 Beiträge

Diese zusätzliche CA ist eine der Retefe-Hinterlassenschaften, die selbst erfahrenen Nutzern kaum auffällt..

(Bild: Trend Micro)

Der Trojaner Retefe hat eine Eigenheit, durch die er besonders schwer zu entdecken ist: Er löscht sich nach der Infektion selbst. Trotzdem kann er auch weiterhin das Online-Banking auf dem infizierten PCs kontrollieren und nutzt dies, dem Anwender einen zusätzlichen Smartphone-Trojaner unterzuschieben. Der greift dann das von der Bank als SMS geschickte Sitzungs-Token ab, berichtet Trend Micro in einer Analyse der "Operation Emmental".

Der Trojaner kommt zunächst als angebliche Rechnung via E-Mail ins Haus. Retefes Trick besteht darin, dass er sofort, nachdem er auf einem Windows-System aktiv wird, dort einen neuen DNS-Server einträgt und ein zusätzliches Zertifikat einer Zertifizierungsstelle (Certificate Authority, CA) einträgt. Anschließend löscht er sich selber – vermutlich um einer Entdeckung zu entgehen: Ein späterer Virencheck des Systems wird keine gefährlichen Dateien mehr entdecken.

Die Seite sieht echt aus - ist es aber nicht. Die PIN landet bei den Online-Banking-Betrügern.

(Bild: Trend Micro)

Durch manipulierte DNS-Antworten leiten die Retefe-Gangster dann die Zugriffe für 34 Banken-Domains in der Schweiz, in Österreich, Schweden und Japan auf eine eigene Web-Seite um. Diese Web-Seite ist sogar verschlüsselt und wird vom Browser als sichere Seite angezeigt, weil ihr Zertifikat von der Trojaner-CA beglaubigt ist. Für den Anwender sieht alles völlig legitim aus; ohne es zu bemerken, schickt er seine Anmeldedaten an die Gauner.

Dann beginnt Stufe zwei des Angriffs: Der Anwender wird – scheinbar von der Bank – aufgefordert, einen angeblichen Session-Token-Generator der Bank auf seinem Smartphone zu installieren. Ohne den soll angeblich in Zukunft kein Online-Banking mehr möglich sein. Dabei führt scheinbar die Banking-Seite durch die Installation der Android-App, die später in Wahrheit die SMS-Nachrichten der Bank mit den Sitzungs-Tokens abfängt.

Die gefälschte Online-Banking-Seite führt durch die Installation des Smartphone-Trojaners.

(Bild: Trend Micro)

Die Attacken richten sich gezielt gegen Online-Banking, das mit einer Zweifaktor-Authentifizierung arbeitet. Der Nutzer, dieses unter anderem in der Schweiz und Österreich üblichen Verfahrens, muss sich dabei mit einer PIN und einem nur einmal gültigen Sitzungs-Token ausweisen. Durch die Umleitung des Online-Bankings und den Android-Trojaner bekommen die Gauner Zugriff auf beide Faktoren und können damit beliebig auf das Konto zugreifen.

Dieser Angriff führt einmal mehr vor Augen, dass es keineswegs genügt, zur Reinigung eines infizierten Windows-Systems alle Trojaner-Dateien zu löschen. Auch Hinterlassenschaften wie manipulierte DNS-Einträge und zusätzliche Zertifikate stellen erhebliche Sicherheitsprobleme dar, die eine oberflächliche Reinigung oft nicht berücksichtigt. Der konkrete Trojaner Retefe ist bereits seit 2013 bekannt und laut der Schweizer Melde- und Analysestelle Informationssicherung MELANI haben Banken mittlerweile Maßnahmen ergriffen, um diese Angriffe abzufangen. Die Meldestelle sieht in ihm deshalb "keine akute Gefahr für Benutzer von Schweizer E-Banking-Lösungen". Zum Schutz empfehlen sie die üblichen Sicherheitsmaßnahmen und für Android-Besitzer insbesondere, die Installation von Software aus unbekannten Quellen abzuschalten. (ju)