heise Security

mTAN-Trojaner via SMS und Google Play

Jürgen Schmidt


Wer die SMS wie hier auf einem iPhone empfängt, hat Glück gehabt. Er kann den Android-Trojaner nicht installieren.
"Sehr geehrter Herr Meier, wir erinnern Sie, dass [..] die Nutzung des mobilen TAN-Services nur mit der Zertifikat App möglich ist." Wenn diese Nachricht einen mTAN-Nutzer auf seinem fürs Online Banking registrierten Handy als SMS erreicht und auch noch den korrekten Namen trägt, kann man schon ins Schleudern kommen.

Doch trotz all dieser scheinbaren Authentizität handelt es sich bei der zu installierenden App dennoch um einen Trojaner, der mTANs abfangen und an die Betrüger weiterleiten soll. Woher die den korrekten Namen und die Telefonnummer der Opfer haben, ist allerdings immer noch ein Rätsel. Die bisherigen Versuche, diesen mTAN-Trojaner [1] unter die Leute zu bringen, beruhten auf breit gestreuten E-Mails. In der Regel führt der abschließende Link der Mail oder SMS auf eine Seite mit einer konkreten Installationsanleitung für die Trojaner-App. Diese erklärt unter anderem, wie man das Installieren von Apps aus unbekannten Quellen frei schaltet.


Für wenige Tage war der mTAN-Trojaner auch in Google Play verfügbar.
Bild: Lookout
Allerdings hat Lookout auch eine Version des mTAN-Trojaners im offiziellen Google Play Store entdeckt. Demnach bot dieser vom 19. bis 22. April die "EV-Zertifikat App" des Autors S-Smart12 an (com.ceandroid.security.zert). Allerdings wurde die App weniger als 100 Mal heruntergeladen, bevor Google sie gesperrt hat. In seinem Blog-Beitrag [2] betont der Spezialist für Smartphone-Antiviren-Software "Alle Lookout-Nutzer sind vor dieser Bedrohung geschützt" – was sich natürlich auf den Zeitpunkt der Veröffentlichung des Blog-Beitrags bezieht, zu dem die App bei Play gar nicht mehr erhältlich war. Wie das vor vor zwei Wochen aussah, als die App tatsächlich noch verfügbar war, beantwortete Lookout auch auf explizite Nachfragen von heise Security nicht.

Dass die existierenden Virenschutzprogramme mehr oder weniger gut gegen die bereits bekannten Varianten schützen, bestätigte auch das Testlabor AV-Test [3], das die Erkennung von 11 solcher mTAN-Trojaner-Versionen prüfte. Die Trojaner waren zum Zeitpunkt des Tests allerdings auch bereits mehr als 5 Tage alt und somit keine akute Bedrohung mehr. Neben Lookout erkannten die AV-Programme von Eset, F-Secure und McAfee alle 11 Versionen; Ahnlab (8), Commodo, Sophos (jeweils 7) und Symantec (5) stoppten nur einen Teil. Interessant ist, dass die in Android 4.2 eingebaute Google App Verification [4] immerhin 7 dieser mTAN-Trojaner erkannte.

Der wichtigste Schutz vor der versehentlichen Installation einer Trojaner-App ist somit nicht Antiviren-Software, sondern dass man das "Installieren von Apps aus unbekannten Quellen" nicht gestattet – dies ist die Voreinstellung von Android. Es beschränkt zwar die Auswahl auf die bei Google verfügbaren Apps, verhindert aber auch die versehentliche Installation von Spionage-Programmen aus dubiosen Quellen. Zwar ist nicht ausgeschlossen, dass es ein Trojaner kurzzeitig auch in Googles Appstore schafft; doch zu diesem Zeitpunkt dürften auch die Antiviren-Programme nur wenig Schutz bieten. (ju [5])


URL dieses Artikels:
https://www.heise.de/security/meldung/mTAN-Trojaner-via-SMS-und-Google-Play-1858695.html

Links in diesem Artikel:
  [1] https://www.heise.de/security/meldung/Angebliche-Zertifikats-App-bringt-mTAN-Trojaner-aufs-Smartphone-1846618.html
  [2] https://blog.lookout.com/de/2013/05/05/zertsecurity/
  [3] http://www.av-test.org/home/
  [4] https://www.heise.de/security/meldung/Android-4-2-warnt-vor-boesen-Apps-und-teuren-SMS-1743491.html
  [5] mailto:ju@ct.de