Bankkunden in Österreich (Bank Austria, aber auch Sparkassen und Volksbanken) – und wohl auch in Deutschland – sind aktuell von einer Phishing-Kampagne bedroht. Dabei wird auch ein Mobilgeräte-Trojaner mit ausgeliefert.
Anzeige
Sicherheitsforscher von Proofpoint habe Anfang November 2017 in diesem Blog-Beitrag auf die Bedrohung hingewiesen, die Phishing und Trojaner kombiniert.
Angriff auf deutschsprachige Bankkunden
Phishing-Angriffe auf Bankkunden, Trojaner im Bankwesen und Kreditkartenphishing sind häufige Bedrohungen, die Sicherheitsforscher regelmäßig sowohl in großem Umfang als auch bei gezielten Angriffen beobachten.
Proofpoint-Forscher haben jedoch kürzlich Phishing-Angriffe beobachtet, bei denen all diese Elemente in einem einzigen, mehrstufigen Schema zusammengefasst sind. An dem Angriff ist auch der Marcher Android Banking Trojaner, der auf Kunden österreichischer Großbanken zielt, beteiligt. Die Angriffe von Marcher werden immer raffinierter, wobei die Kunden der Institute Bank Austria, Raiffeisen Meine Bank und Sparkasse mindestens seit Januar 2017 im Fokus der Kriminellen stehen.
Analyse des Angriffs
Marcher wird häufig per SMS verschickt. Aber im aktuellen Fall wird den Opfern ein Link in einer E-Mail angezeigt. Oftmals ist der e-Mail-Link ein verkürzter bit.ly-Link, der die Zieladresse verschleiern soll. Der Link führt zu einer Phishing-Seite, die nach Anmeldedaten für das Bankkonto (oder einer Kontonummer und PIN) fragt.
Anzeige
Da die Kriminellen den bit.ly URL-Kürzer zum Ausliefern des Phishing-Links verwendeten, lassen sich die Auslieferungsstatistiken für diese spezielle Kampagne abrufen. Der Link leitet zu einer URL weiter, die dazu bestimmt ist, legitim zu erscheinen. Es handelt sich um eine kanonische Domäne von sicher97140[.]info mit dem Logo der "Bank Austria".
Ist das Opfer auf den Phishing-Version hereingefallen, wird die Anmeldung auf der Phishing-Seite mit E-Mail-Adresse und Telefonnummer verlangt.
Nachdem der Betrüger das Konto und die persönlichen Daten des Opfers erhalten hat, versucht er einen Social Engineering-Angriff. Er informiert den Benutzer darüber, dass sie die "Bank Austria Security App" noch nicht auf dem Smartphone installiert ist. Ohne diese App könne kein Online-Banking mehr ausgeführt werden. Folgende Abbildung zeigt die Download-Eingabeaufforderung für diese gefälschte App.
Kommt der Benutzer dieser Aufforderung nach und lädt die App herunter, erhält er zusätzliche Hinweise zur Installation. Damit gelangt der Marcher-Trojaner auf das Android-System. Die im Proofpoint-Beitrag veröffentlichten Statistiken zeigen, dass 7% der Besucher die App von der Phishing-Seite heruntergeladen haben. Die App fordert vom Benutzer extensive Berechtigungen an.
(Quelle: Proofpoint)
Die App kann Kontakte auslesen, Telefonanrufe und SMS verschicken, den Standort abfragen und mehr. Nach der Installation findet das Opfer ein Icon auf dem Android-Gerät.
(Quelle: Proofpoint)
Nutzt der Anwender diese App für seine Bankgeschäfte, fischt der Trojaner Anmeldedaten und mehr ab und fordert auch zur Eingabe der Kreditkartennummer auf. Dabei können diverse Kreditkartendaten verifiziert werden.
Proofpoint hat im Oktober diverse Angriffswellen beobachtet, wobei teilweise bis zu 20.000 Nutzer auf die Links klickten. Es ist davon auszugehen, dass diese Kampagnen weiter gehen und möglicherweise auch andere Banken mit aufgenommen werden. Weitere Details lassen sich bei Proofpoint nachlesen.
Anzeige
Oha
Also mein Virenscanner würde 3x anschlagen und mein Android Telefon würde die Installation verweigern, weil die App nicht vom Store ist.
Kurz um. Wer sich diese Schadsoftware installiert hat, hat alle Systemwarnungen in den Wind geschlagen!
Was soll man da als Institut noch machen? Mir fällt da kein Mittel ein, wie man seinen Kunden schützen kann, wenn Kunden alle Warnungen in den Wind schlagen….
"Marcher wird häufig per SMS verschickt" …
wie wird der dann, ohne weiteres zutun von mir, aktiv? Davor hätte ich Angst, wenn dem so wäre.
Klicken auf einen Link in einer Mail, sensible Daten eingeben, … sorry, kein Mitleid.
In apps versteckt, schon schwieriger. Ohne Playstore etwas sicherer wenn auf Fdroid mehr Verlaß ist.
Banking auf dem Schlauphone, für mich ein NoGo.
Keine Banking-App auf's Smartphone Punkt