Der "Zitmo"-Trojaner kommt über ein gefälschtes Sicherheitsupdate aufs Smartphone. © Versafe / Check Point

Betrüger haben die Computer und Smartphones von mindestens 30.000 Menschen infiziert, um per SMS verschickte TANs abzufangen und selbst zu nutzen. Auf diese Weise konnten sie bis zu 36 Millionen Euro abbuchen.

In einer ausführlichen Fallstudie bezeichnen die Sicherheitsunternehmen Check Point und Versafe die Aktionen des Systems Eurograbber als "ausgefeilte, mehrdimensionale und gezielte Attacke" auf die Nutzer von Onlinebanking.

Die Täter setzten eine Kombination aus mehreren Verfahren ein: Zunächst muss der PC eines Opfers mit einer Abwandlung des Zeus-Trojaners infiziert werden. Das geschieht durch klassische Phishing-Mails oder auch das Ausnutzen von Sicherheitslücken in Komponenten wie Flash oder Java.

Wenn sich der Anwender das nächste Mal in sein Konto einloggt, wird die Bankseite per Java manipuliert, schreiben die Security-Forscher. Zu sehen ist dann eine vermeintlich von der Bank stammende Nachricht, die zur Eingabe der Handynummer für das mTAN-Verfahren auffordert. Wenn der Nutzer dem nachkommt, erhält er eine SMS mit einem Link zum Download eines Software-Updates auf dem Smartphone, das auch von der Bank stammen soll. Wird auch das in gutem Glauben erledigt, ist das Telefon ebenfalls infiziert.

Trojaner leitet mTAN an Betrüger weiter

Dabei kommt der schon länger bekannte "Zeus in the mobile"-Trojaner (Zitmo) zum Einsatz, den es zumindest für Android-Smartphones und Blackberry-Geräte geben soll. Ohne das ausdrücklich zu erwähnen, zeigt Check Point in seiner Fallstudie aber auch Screenshots eines iOS-Geräts. Ob der Trojaner auch für iPhones existiert, ist allerdings nicht belegt.

Bei der nächsten Transaktion über den PC schlagen beide Trojaner zu: Die Buchung wird nicht mit dem gewünschten Ziel und der richtigen Summe ausgeführt, sondern für ein Konto der Kriminellen vorbereitet. Dabei generiert die Bank dann eine mTAN, die auf das infizierte Smartphone geschickt wird. Dort leitet sie der Handy-Trojaner an das Botnetz der Betrüger weiter, also an kompromittierte Computer. Die bestätigen die Buchung bei der Bank, wiederum über den infizierten PC.

Das System des Onlinebankings wird damit also nicht direkt angegriffen, aus Sicht der Bank sind alle Daten in Ordnung. Sie wurden nur von den Trojanern so manipuliert, dass das Geld woanders ankommt.