Die heimliche Gefahr beim Mobile Banking: Remote Access Trojaner

Die verdeckte Gefahr beim Mobile Banking durch Apps. Lesen Sie, wie Remote Access Trojaner (RAT), den User teuer zu stehen kommen können.

Okt 17, 2022 - 3 Min.

Mobil, einfach und schnell Geldüberweisungen über das Smartphone tätigen: Immer mehr Menschen setzen auf ihr Handy, wenn es um Bankgeschäfte geht. Gerade der Wettbewerb um junge Kunden ist in der Banken- und Finanzbranche hoch, damit die Benutzer ihre Transaktionen noch einfacher auslösen und verwalten können. Auch Cyberkriminelle haben zusehends erkannt, dass sie auf das Smartphone setzen müssen. Vor allem da dies oft weit weniger geschützt ist als der Computer. Eine App mit einem Remote Access Trojaner (RAT) ist schnell mal unwissentlich heruntergeladen. Und das kann dem Nutzer teuer zu stehen kommen. Wie diese Schadsoftware Ihre mobilen Banking- oder Krypto-Wallet-App angreift und wie Sie sich schützen können, lesen Sie hier. 

Das Prinzip eines Remote Access Trojaners ist nicht neu, denn die Schadsoftware ist eine Unterkategorie von Trojanern. Diese Art von Malware greift Informationen von infizierten Systemen ab oder lässt Cyberkriminelle den Computer aus der Ferne kontrollieren – ähnlich wie beim Einsatz der Software TeamViewer. Im Gegensatz zu dem beliebten Supportprogramm bekommt der Nutzer aber nicht mit, dass eine andere Person die Kontrolle über das Endgerät erhalten hat. 

Dabei sind die Funktionen eines RAT unterschiedlich. Einige Schadprogramme greifen nur Passwörter, Accountdaten oder andere sensible Daten ab und leiten diese an den Cyberkriminellen weiter. Eine andere Art von Angriff ist es, wenn der Trojaner den Bildschirm des Opfers spiegelt und der Hacker in Echtzeit die Bewegungen und Handlungen seines Opfers verfolgen kann. Auch hier steckt meist die Absicht dahinter, Passwörter und Bankdaten zu stehlen. 

Da immer mehr Menschen ihre Bank- und Kryptogeschäfte über das Smartphone erledigen, hat auch die Zahl der Angriffe mittels RAT auf diese Art von Endgeräten rasant zugenommen. Oft beginnen die Attacken mit raffinierten Social-Engineering-Attacken, um den Nutzer dazu zu manipulieren, die Schadsoftware auf sein Endgerät zu laden. Gängig sind hier nicht nur Phishing-E-Mails oder Text-Nachrichten. Auch gefälschte Apps beherbergen oft den Trojaner. Diese werden dann aus einem offiziellen App-Store heruntergeladen und dem Hacker öffnen sich Tür und Tor. 

Eine weitere Form ist auch der HTML-Overlay-Angriff. Dabei bilden Cyberkriminelle die Seite einer Online-Banking-App oder Krypto-Plattform nach und überlagern die echte Webseite. So können sie einfach die Daten durch Keylogging abfangen.

Der User bemerkt bei der Nutzung der Banking-App oder seines Wallets von den Angriffen in den meisten Fällen nichts. 

RAT: Die Gefahr hinter gefälschten Apps 

Remote Access Trojaner gelten als äusserst gefährlich. Die Angriffe erfolgen meist heimlich, da die Hacker so lange wie möglich unentdeckt bleiben wollen. Dadurch können sie die Daten, die sie erbeutet haben, ungestört für ihre Zwecke einsetzen. 

Ausserdem gelingt es den Kriminellen, durch die Schadsoftware an weitreichenden Berechtigungen des Smartphones zu kommen. Das verschafft ihnen in vielen Fällen die komplette Kontrolle über das Gerät. So bietet sich für die Hacker die Möglichkeit, zentralen Schaden anzurichten. Für das Opfer gilt dann, dass alle auf dem Endgerät gespeicherten Passwörter unsicher sind. 

Diese Art von Schadsoftware ist oft nur schwer aufzuspüren und bleibt so unentdeckt. Gängige Antivirensysteme oder Firewalls können sie einfach umgehen. Hacker nisten sich oft Wochen oder Monate in dem System ein, bevor sie zuschlagen. Zudem ist die Malware oft nur sehr schwer zu entfernen. 

Von Haien und Tee

Die Erkennung von Malware – gerade auf Smartphones – stützt sich bisher vor aber vor allem auf gängige Antiviren-Technologien. Diese suchen nach Namen von verdächtigen Dateien und überprüfen Apps und deren Hashes regelmässig auf Schadsoftware. Das stösst allerdings sehr schnell an Grenzen, da die Hacker ihre Programme weiterentwickelt haben. 

Aktuell treibt der Banking-Trojaner SharkBot erneut sein Unwesen. Erstmals wurde dieser vor einigen Monaten entdeckt und verbreitete sich getarnt über die Fake-Antiviren-Apps „Kylhavy Mobile Security“ und „Mister Phone Cleaner“ über den Google Play Store. Die Apps wurden über 60.000-mal heruntergeladen. Das perfide: Der Trojaner wurde zunächst von Google nicht entdeckt, da der Schadcode zu Beginn nicht in der App enthalten ist. Erst einige Zeit später wird dieser durch ein Update nachgeladen. Die Malware greift dabei Session-Cookies ab, wenn sich ein Nutzer in sein Bankkonto einloggt und sendet diese an einen Command-and-Control-Server. Zeitgleich können die Hintermänner das Smartphone durch die Schadanwendung komplett übernehmen und SMS abfangen. So lassen sich auch OTP (One Time Passwords oder Einmalpasswörter) umgehen. 

Ein „altbekannter“ Banking-Trojaner ist TeaBot, auch Anatsa genannt, der auf immer mehr Apps abzielt. Entdeckt wurde er erstmals 2021. Die Schadsoftware ist mit vielfältigen Funktionen ausgestattet: So späht sie nicht nur Login-Daten aus, sondern kann auch HTML-Overlay-Angriff initiieren sowie die komplette Kontrolle über das Smartphone übernehmen. TeaBot ist weltweit verbreitet und rangiert in den Top-10 der Banking-Trojaner. 

In beiden Fällen kann dem Opfer ein hoher finanzieller Schaden entstehen, wenn die Kriminellen Zugriff auf Login- und Konto-Daten erhalten und somit erst einmal unbemerkt Überweisungen auslösen können. 

Massnahmen gegen Remote Access Trojaner

Nach wie vor sind die üblichen Sicherheitsmethoden von hoher Bedeutung. So sollten Nutzer vorsichtig sein, wenn sie verdächtige oder unseriös wirkende E-Mails öffnen, auch wenn diese von einem vermeintlich bekannten Sender kommen.

Apps sollten nur von den bekannten Plattformen heruntergeladen werden, aber auch hier gilt: Es lohnt sich ein zweiter Blick. Handelt es sich um eine gefälschte App einer bekannten Marke, weicht das Logo oft vom Original ab oder der Name der Marke ist falsch geschrieben. Auch die Rezensionen und Bewertungen geben Aufschluss, ob es sich um eine gefälschte App handelt oder nicht. Je mehr Rezensionen es gibt, desto wahrscheinlicher ist es, dass es sich bei der Anwendung nicht um eine Fälschung handelt. Ebenso ist es ratsam, einen Blick auf die benötigten Zugriffsrechte der App zu werfen und welchen Umfang diese haben. 

Damit sich User noch besser vor bösen Überraschungen schützen können, ist es empfehlenswert eine Multi-Faktor-Authentifizierung (MFA) als Sicherheitsmechanismus zu implementieren, die auf mehreren Ebenen beruht. Mit biometrischen Verfahren lässt sich der Authentifizierungsprozess zusätzlich vereinfachen. Denn Gesichts- oder Fingerabdruckscans und abgesicherte Transaktionsbestätigungen sind zusätzliche Hürden für Hacker, damit das Konto oder Wallet sicher bleibt. 

 

Entscheidender Faktor für mehr Sicherheit: Multi-Faktor-Authentifizierung