Banking-Trojaner Retefe

Publiziert am 12. November 2016 von Günter Born

Aktuell eine Warnung vor einer Malware, die auf Bankkunden abzielt. Der Trojaner Retefe hat zahlreiche Banken im Visier und soll wohl auch für die Abbuchungen bei TESCO verantwortlich sein.

Anzeige

Vor einigen Tagen hatte ich im Blog den Artikel 20.000 Kunden verlieren Geld – TESCO-Bank stoppt Online-Payment. Die britische Bank musste die Online-Transaktionen aussetzen, weil bei 20.000 Kunden plötzlich unerklärliche Transaktionen auftauchten.

Malware JS/Retefe

Laut Sicherheitsanbieter ESET hat die Malware JS/Retefe sowohl die Tesco-Bank als auch andere Banken im Visier. Der Trojaner wurde von den ESET Threat Intelligence Services entdeckt und ist in seiner jetzigen Form seit mindestens Februar 2016 aktiv. Er sucht nach Online-Banking-Anmeldeinformationen von Benutzern und missbraucht diese dann, um betrügerische Transaktionen durchzuführen.

Verbreitung per E-Mail

Der schädliche Code der Malware wird in der Regel als E-Mail-Anhang verbreitet. Meist gibt die Mail vor, eine Rechnung von einem Versandhandel zu beinhalten. Sobald der Anhang geöffnet wird, werden mehrere Komponenten einschließlich des Anonymisierungsdienstes Tor installiert. Man verwendet diese, um einen Proxy für ausgewählte Banking-Seiten zu konfigurieren. In einigen Fällen versuchte die Malware, dem Benutzer die Installation einer mobilen Anwendung einzureden.


(Quelle: ESET)

Anzeige

ESET erkennt diese Bedrohung als Android/Spy.Banker.EZ. Die App wurde verwendet, um die Zwei-Faktor-Authentifizierung beim Banking zu umgehen. Retefe verfügt über ein gefälschtes Root-Zertifikat, welches vorgibt, von der CA-Authority Comodo herausgegeben und überprüft worden zu sein (siehe obiger Screenshot). Aus Anwenderperspektive lässt sich der Betrug über das Zertifikat nur sehr schwer erkennen.

Retefe entwickelt sich weiter

Sicherheitsforscher waren in der Vergangenheit bereits auf Retefe aufmerksam geworden. Zuletzt wurden Bankkunden in Großbritannien Opfer des Trojaners. Seitdem hat der Entwickler weitere mobile Komponenten hinzugefügt und die Zielliste erweitert. Zu den betroffenen Institutionen gehören unter anderem große Banken in Großbritannien, der Schweiz und Österreich, sowie beliebte Dienste wie Facebook und PayPal.

Eset bietet eine Prüfung an

Benutzern der oben aufgeführten Dienste wird empfohlen, bestimmte Kompatibilitätsindikatoren manuell zu überprüfen oder die automatische Retefe-Checker-Website von ESET zu verwenden. Eine Schritt-für-Schritt Anleitung mit weiteren Informationen findet sich auch im deutschen ESET Blog WeLiveSecurity.

Ähnliche Artikel:
20.000 Kunden verlieren Geld – TESCO-Bank stoppt Online-Payment

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.