Skip to main content

Android-Trojaner attackiert Homebanking-TANs

Ein neuartiger Trojaner für Android-Smartphones hat es auf mTANs fürs Homebanking abgesehen. Die Polizei meldet bereits zahlreiche Angriffe und auch einige von den Angreifern leer geräumte Konten.

Seit einiger Zeit gilt das reguläre TAN-Verfahren für Homebanking als unsicher. Dabei wurden TAN-Listen an die Nutzer verschickt – bei jeder Transaktion musste eine zufällig von der Bank ausgewählte TAN eingegeben und abgestrichen werden. Gelangte ein Angreifer in den Besitz dieser Listen, war es für ihn ein leichtes das Konto leer zu räumen. Da viele Homebanking-Tools zwecks Arbeitserleichterung die Eingabe kompletter Listen erlaubten und Angreifer auch sonst sehr trickreich an die TANs kamen, schaffen immer mehr Banken dieses Verfahren ab.

Als sicherer gilt das sogenannte mTAN- oder SMS-TAN-Verfahren. Dabei wird auf eine zuvor hinterlegte und verifizierte Handynummer eine SMS mit einer einmaligen und nur für kurze Zeit gültigen TAN geschickt. In der Kurznachricht ist zudem die zu überweisende Summe genannt, so dass bei genauem Abgleich keine Fehler passieren können. Nun aber haben Angreifer einen Weg gefunden, um zumindest Nutzer von Android-Smartphones um ihr Geld erleichtern zu können.

Komplett auf dem Smartphone findet der Angriff jedoch nicht statt – es beginnt am Rechner des Bankkunden. Ein dort eingeschmuggelter Trojaner versorgt die Angreifer mit den Kontodaten des Opfers. Anschließend folgt ein gefälschter Hinweis im Browser, dass das Smartphone mit einem Update geschützt werden müsse. Das potentielle Opfer solle sein Handymodell und seine Handynummer eingeben, anschließend senden die Angreifer eine SMS mit einem Link zum vermeintlichen Sicherheits-Update. Wer das Update im Glauben, es stamme von seiner um die Sicherheit besorgten Bamk, installiert hat sich damit das Schadprogramm auf das Handy geladen mit dem später das Konto geplündert wird.

Nun können die Angreifer alle SMS mit einer mTAN auf ihren eigenen Mobiltelefonen mitlesen und so mit den abgefangenen Nummern eigene Transaktionen starten. Da Rückbuchungen nur im Falle von Lastschriften, nicht aber bei selbst getätigten Überweisungen vorgesehen sind, bleibt dem Opfer erst einmal nur der Schock und dann der Anruf bei Bank und Polizei.

Android-Trojaner attackiert Homebanking-TANs

Android-Trojaner attackiert Homebanking-TANs Bild:Google

Die Polizei rät allen Homebanking-Nutzern, sich nicht nur ein gutes und aktuell gehaltenes Antivirenprogramm zu besorgen sondern auch besonders vorsichtig bei vermeintlichen Updates zu sein. Vor allem wenn ein Programm die Eingabe von Telefonnummern oder anderen persönlichen Daten verlangt ist Vorsicht geboten.