Identitätsdiebstahl: Banking-Trojaner Acecard will Selfies von Opfern knipsen

Ein Android-Schädling bittet seine Opfer inklusive Personalausweis vor die Kamera.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 105 Beiträge
Identitätsdiebstahl: Auf ein Selfie mit dem Banking-Trojaner Acecard

(Bild: McAfee )

Von
  • Dennis Schirrmacher

Der Android-Banking-Trojaner Acecard gibt sich auf infizierten Geräten nicht mehr mit dem Abziehen von Kreditkarten-Daten und Codes einer Zwei-Faktor-Authentifizierung zufrieden: Neuerdings fordert er seine Opfer auf, ein Selfie mit Personalausweis zu machen, berichten Sicherheitsforscher von McAfee.

Der Schädling soll den Sicherheitsforschern zufolge ausschließlich in App-Stores von Drittanbietern auftauchen und sich als Erotik-Video-App beziehungsweise als ein zum Abspielen nötiger Codec ausgeben. Damit er sein Schadenswerk anrichten kann, fordert er weitreichende Berechtigungen ein, die ein Opfer abnicken muss.

Der Banking-Trojaner Acecard soll ein Selfie inklusive Personalausweis einfordern.

(Bild: McAfee )

Das auf die Spitze getriebene Social Engineering unterteilt sich in zwei Schritte: Zuerst soll man "saubere und lesbare" Fotos von der Vor- und Rückseite des Personalausweises hochladen. Anschließend fordert der Trojaner noch ein Selfie mit dem Dokument ein, erläutert McAfee.

Beim Interface haben sich die Betrüger viel Mühe gegeben: Die Phishing-Bildschirme mit den Eingabefeldern für Kreditkarten-Daten sehen legitim aus und tarnen sich als Google-Play-Aufforderung. Der Prozess zum Aufnehmen der Bilder kommt als Step-by-Step-Anleitung inklusive Bebilderung daher.

Ob die Kriminellen mit den Selfies Online-Legitimationsverfahren überlisten können, ist fraglich. Etwa die Deutsche Post bietet Kunden im Zuge von Postident an, sich online via Video-Chat gegenüber einem Post-Mitarbeiter auszuweisen. Auch der IDnow-Service offeriert ein Video-basiertes Online-Legitimationsverfahren für verschiedene Banken – so kann man etwa ein Konto eröffnen. Mit Fotos kommt man da nicht weit, zudem stellen die Mitarbeiter am anderen Ende der Kamera Fragen.

Auch biometrische Legitimationsverfahren bei Online-Zahlungen lassen sich wahrscheinlich nicht über ein einfaches Selfie austricksen. Zwar bietet etwa Mastercard den Service, am Smartphone getätigte Online-Zahlungen mit einem Fingerabdruck oder Selfie zu bestätigen, doch entscheidet man sich für das Selfie, muss man zusätzlich noch in die Kamera blinzeln. (des)