Fürchte die Danaer, auch wenn sie mobile App-Downloads bringen

RSA wurde kürzlich auf eine neue Form von Schadsoftwareangriffen aufmerksam gemacht, die Benutzer von Onlinebanking-Apps zum Ziel haben und betrügerische Überweisungen von den Konten der Opfer tätigen können. Die Angriffe nutzen eine SMS-Hijacking-App, die mit RSA SecurID-Branding versehen ist, um sie glaubwürdiger erscheinen zu lassen. Diese Angriffe zielen nur auf Mobilgeräte mit Android-Betriebssystem ab. Apple-Geräte sind bisher nicht betroffen. Ein Angriff läuft folgendermaßen ab:

  1. Auf dem Gerät des Opfers wird ein Trojaner bereitgestellt.
  2. Wenn sich das Opfer später bei einer Onlinebanking-App mit einem Einmalpasswort anmeldet, um eine Überweisung zu authentifizieren, zeigt der Trojaner die Empfehlung an, eine RSA SecurID-App herunterzuladen, bei der es sich aber um eine SMS-Hijacking-App mit RSA SecurID-Branding handelt.
  3. Der Trojaner fordert das Opfer daraufhin zur Eingabe der Telefonnummer des Android-Mobilgeräts auf und sendet an diese einen Downloadlink für die gefälschte RSA SecurID-App (von einer anderen Website als dem offiziellen Google Play Store).
  4. Sobald das Opfer die gefälschte App heruntergeladen und installiert hat, leitet der Angreifer die Überweisung vom Konto des Anwenders ein.
  5. Wenn die Onlinebanking-App per SMS das Einmalpasswort an das Smartphone des Benutzers schickt, fängt die Schadsoftware die Textnachricht ab, sodass der Benutzer diese nie zu sehen bekommt.
  6. Anschließend gibt der Angreifer das erfasste Einmalpasswort in die App ein und schließt damit die betrügerische Transaktion ab.

Es muss darauf hingewiesen werden, dass RSA seine mobilen Apps ausschließlich über den offiziellen Store der jeweiligen Plattform bereitstellt, um für Sicherheit und Vertrauenswürdigkeit dieser Apps zu sorgen. In diesem Fall ist die Tatsache, dass die App von einer anderen Website als dem Google Play Store heruntergeladen werden soll, ein deutliches Zeichen dafür, dass es sich nicht um eine authentische App handelt. Das Anti Fraud Command Center (AFCC) von RSA ist sehr wachsam und bemüht sich, so schnell wie möglich für eine Abschaltung von Download-Websites für gefälschte RSA-Apps zu sorgen. Auch für diese neue Kampagne wurden bereits Maßnahmen ergriffen.

Diese Angriffsmethode ist keineswegs neu oder auf Kunden von RSA beschränkt, aber sie kann an verschiedenen Stellen durch die Beachtung einfacher Regeln für die Cybersicherheit gestoppt werden. Kunden von RSA (und deren Kunden) können sich wie folgt besser schützen:

  • Laden Sie niemals mobile RSA-Apps von anderen Websites als dem offiziellen Store der Plattform herunter (z. B. Google Play, Apple App Store usw.).
  • Seien Sie auf der Hut vor Angriffen, die auf Social Engineering basieren. In diesem Fall fordert die Schadsoftware den Anwender zur Eingabe einer Mobiltelefonnummer auf – in den meisten Fällen sollte die Bank über diese Informationen bereits verfügen.
  • Nutzen Sie robuste Lösungen zur Erkennung und Beseitigung von Schadsoftware, wie etwa RSA ECAT oder kommerzielle Lösungen für Unternehmensgeräte, um das Potenzial von und Schäden durch Angriffe mit Trojanern zu verringern.
  • Sorgen Sie dafür, dass Ihre Software zum Schutz vor Schadsoftware und Viren immer auf dem neuesten Stand ist, Firewalls aktiviert und Geräte nicht gerootet sind.

Dieser Blogbeitrag entstand in Zusammenarbeit mit Kenn Chong, Principal Product Manager – SecurID/Via.

No Comments