Eine neue doppelte Angriffstechnik macht von schädigender Javascript Web-Injection auf Facebook Gebrauch, um Nutzer dazu zu bringen, die bösartige App iBanking auf ihr Android-Gerät herunterzuladen.
Wie man eine Infektion verhindert
Zunächst einmal: Wenn Sie sich von Ihrem Computer aus bei Facebook anmelden und auf ganz mysteriöse Weise aufgefordert werden, ein “einmaliges Software-Tool für die sichere Authentifizierung” auf Ihr Android-Gerät herunterzuladen, fahren Sie nicht damit fort.
Sofern Sie dies tun, ist Ihr Computer schon vom Schädling befallen und durch das Herunterladen auch Ihr Android-Gerät infiziert. Falls Sie diese Aufforderung sehen, raten wir Ihnen, Hilfe in Anspruch zu nehmen, und zwar unter Hilfe, mein PC ist infiziert! Dabei handelt es sich um ein Support-Forum. Die Entfernung von Schadprogrammen ist gratis, selbst wenn Sie noch kein Kunde von Emsisoft sind.
iBanking Play-by-Play
Die Aufforderung, ein “einmaliges Software-Tool” herunterzuladen, nutzt Social Engineering, um Facebook-Nutzer dazu zu bringen, eine angebliche Sicherheits-App herunterzuladen, die Zwei-Faktor-Authentifizierung für Ihr Facebook-Konto ermöglicht. Tatsächlich handelt es sich bei dieser „Sicherheits-App“ aber um iBanking, ein Android-Schadprogramm, das Folgendes kann:
- Echte Zwei-Faktor-Authentifizierungscodes abfangen, die von echten Service-Anbietern geschickt werden
- Jeglichen eingehenden/abgehenden SMS-Text erfassen
- Abgehende Anrufe an eine vorprogrammierte Telefonnummer umleiten
- Audiosignale durch die Aktivierung eines Mikrofons erfassen
- Metadaten stehlen – Anrufer- und Kontaktlisten
In der Vergangenheit hatte es iBanking größtenteils auf finanzielle Webseiten abgesehen, wobei dieselbe Javascript Injection-Technik verwendet wurde, um Nutzer zum Herunterladen zu verleiten. Normalweise wird dabei auf dem Formular nach einer Telefonnummer des Nutzers und der Geräteart gefragt. Daraufhin wird ein Download-Link direkt als SMS auf das Gerät geschickt. Von dort beinhaltet der bösartige Downloader detaillierte Installationsanweisungen. Dazu zählt auch, dass dem Nutzer gezeigt wird, wie man App-Installation von unbekannten Quellen in den Android-Einstellungen aktiviert.
iBanking erlangte erstmal im Februar traurige Berühmtheit, als ihr Source-Code auf einem Underground-Forum preisgegeben wurde, wodurch es den Autoren von Schadprogrammen auf der ganzen Welt zur Verfügung stand. Die grundlegende Strategie des Schadprogramms – Infektion durch Web-Injection, dann Beobachten der Aktivität auf dem Gerät – ist eigentlich nichts Neues. Dass es aber vor kurzem bei Facebook erschienen ist, ist jedoch eine neue Entwicklung und ein Grund zur Besorgnis. Einfach ausgedrückt: es ist viel einfacher und günstiger, die Webseite von sozialen Medien anzugreifen, die von Milliarden Menschen benutzt wird, als es auf eine kleine Anzahl von Bankseiten abzusehen, die ein jeglicher Nutzer in Anspruch nimmt oder nicht. Außerdem kann die bösartige Web-Injection ganz einfach mit einer echten Aufforderung, Zwei-Faktor-Authentifizierung zu aktivieren, verwechselt werden. Besonders betroffen sind hiervon Nutzer, die durch die neueste Heartbleed-Krise sowieso schon etwas um ihre persönliche Sicherheit bangen.
Schutz vor iBanking
Emsisoft Mobile Sicherheit erkennt das Schadprogramm iBanking als Android.Trojan.SMSSend.HM (B).
SHA-1: fc13dc7a4562b9e52a8dff14f712f2d07e47def4
Außerdem wurde unsere Behavior-Blocking-Technologie so entwickelt, dass bösartige Javascript-Injections, wie die, die iBanking verbreitet, gestoppt werden, bevor sie Ihren Computer infizieren.
Wie sieht es also mit dieser doppelten Angriffstechnik aus?
Wir wünschen Ihnen einen tollen Tag, frei von mobilen Schadprogrammen!