ComputerBase Menü
Aktuelles

News Malware: mTAN-Trojaner infiziert Android-Smartphones

Darüber hinaus schaltet sich der Trojaner auch in den Bootvorgang des Smartphones ein und setzt sich so auf dem Telefon fest.
Zum Vergrößern anklicken....
Kann mir einer erklären, wie sowas ohne root möglich ist?
 
NoD.sunrise schrieb:
Wie dämlich muss man sein auf diese "Malware" hereinzufallen und was hat das mit "infizieren" zu tun wenn ich es selbst bewusst installiere?

1. Ich muss auf eine Bank Fishing Mail reinfallen, allein das sollte doch wirklich der letzte DAU wissen dass man NIE auf irgendwelche Links in angeblichen Mails der Bank klickt.
2. Muss ich die Installation aus unbekannten Quellen freigeben
3. Muss ich die App Installation zulassen
4. Muss ich die Rechte auf SMS welche die App fordert abnicken
Zum Vergrößern anklicken....

Genau das habe ich mir auch gedacht. Die üblichen Verdächtigen sind dazu nicht imstande und können eh kein Smartphone bedienen - schon gar nicht mit Android OS ^^
 
Faustregel: Keine seriöse Bank schickt ihren Kunden E-Mails, welche nach der Eingabe von TANs verlangen. Wer auf diese reagiert und TANs oder Kreditkarteninformationen eingibt, der/die hat selber Schuld. Wichtige Unterlagen werden meistens noch per Post verschickt (sofern die Post nicht gerade streikt).
 
Ich finde es wirklich erstaunlich, dass hier alle möglichen Lücken bei Android und Herstellern, die Android verwenden hingewiesen wird, aber über die XARA Probleme in iOS und OS X wurde hier noch mit keiner News, Artikel oder sonstwie hingewiesen...
 
Miniami schrieb:
Faustregel: Keine seriöse Bank schickt ihren Kunden E-Mails, welche nach der Eingabe von TANs verlangen.
Zum Vergrößern anklicken....

Das ist eine glatte Falschinformation, und genau da liegt de Hund begraben!

Es wurde jahrelang das Bild geprägt: Banken fragen euch niemals nach TANs; Ihr erkennt Phishing am schlechten deutsch etc...
Nun kommt eine Mail welche genau dieses Szenario angibt und in der empfohlen wird, das neueste Sicherheitszertifikat zu installieren, damit man NOCH sicherer ist.

Faustregel: Keine Bank verschickt eMails ohne vorher von einem direkt angesprochen worden zu sein!
 
major_tom111 schrieb:
Es ist auch naheliegend, dass der App Betreiber meine eMail Adresse hat, denn die ist ja auch notwendig, um die Banking App überhaupt herunter zu landen.
Zum Vergrößern anklicken....
Wer ist hier Betreiber welcher App? Die Gauner sind Betreiber des Trojanischen Pferdes (App)? Und wer braucht deine E-Mail-Adresse? Deine Bank oder die Gauner?

Eigentlich verschicken die Gauner wahllos per Spam E-Mails. So erhalten auch Leute diese E-Mail, die gar nicht bei der Postbank sind.
 
major_tom111 schrieb:
Faustregel: [...]
Zum Vergrößern anklicken....
Noch einfacherer: Alles, was man nicht erwartet, aber laut Mail was machen (klicken, öffnen, ausfüllen, etc.) soll, ist ein Betrugsversuch.
 
Wilhelm14 schrieb:
Wer ist hier Betreiber welcher App? Die Gauner sind Betreiber des Trojanischen Pferdes (App)? Und wer braucht deine E-Mail-Adresse? Deine Bank oder die Gauner?

Eigentlich verschicken die Gauner wahllos per Spam E-Mails. So erhalten auch Leute diese E-Mail, die gar nicht bei der Postbank sind.
Zum Vergrößern anklicken....

Mobile Banking =! Web Banking
Und für Mobile Banking wird immer noch eine App benötigt, und gerade Banken haben nicht immer Softwareentwicklung als ihr Hauptgeschäftsfeld, daher kann der Betreiber einer App auch jemand anderer sein als die Bank deren Name auf der App steht.

Und zum Download aus dem Android Store ist immer noch ein Google Konto samt Mail Adresse erforderlich und es würde mich nicht wundern, wenn der App Entwickler (Betreiber) Zugriff auf diese Informationen hat.
Selbst wenn nicht, so ist es eine plausible Assoziationskette die für den Endkunden, der zufällig Bankkunde ist und die App verwendet schlüssig erscheint.
 
Zuletzt bearbeitet:
Ich kann dir ehrlich gesagt nicht folgen. Eine saubere Banking-App mag aus dem Play Store kommen, ja, was hat das mit dem Trojanischen Pferd zu tun? Das kommt ja aus unbekannter Quelle aus dem Internet. Aufgefordert wird man per E-Mail und da per Spam.

Edit: Du meinst der saubere Betreiber der sauberen Banking App schnappt sich die googlemail-Adresse? Und darüber kommt dann der Phishing-Versuch?
 
Zuletzt bearbeitet:
Hehe... ChipTan und Banking nur am Fest-PC. ;)
 
hrafnagaldr schrieb:
Zum Tätigen der Überweisung braucht aber er aber auch den Login zum Onlinebanking.
Zum Vergrößern anklicken....

frank00000 schrieb:
Um eine Überweisung zu tätigen nützt aber das TAN Phishing Programm nichts.
Also ohne vorher Zugang zum Konto zu haben ist das Android Programm nutzlos.
Zum Vergrößern anklicken....

Exakt. Deshalb ist das auch die erste Stufe. Wenn man jemandem erst (per Mail) die Kontozugangsdaten abgeluchst hat, dann schafft man es mit dieser Masche vmtl. auch sehr oft das Smartphone zu infizieren. Da keine Handarbeit im Spiel ist, macht es auch nichts wenn die Erfolgsquote niedrig ist. Ein paar Reingelegte reichen schon für Profit.

syntax868 schrieb:
Kann mir einer erklären, wie sowas ohne root möglich ist?
Zum Vergrößern anklicken....

Gar nicht. Gemeint ist sicher, dass die App nach dem Boot direkt ihren Service startet, um SMS abfangen zu können. Dazu braucht es eine spezielle Berechtigung.
 
Zuletzt bearbeitet:
Wilhelm14 schrieb:
Ich kann dir ehrlich gesagt nicht folgen. Eine saubere Banking-App mag aus dem Play Store kommen, ja, was hat das mit dem Trojanischen Pferd zu tun? Das kommt ja aus unbekannter Quelle aus dem Internet. Aufgefordert wird man per E-Mail und da per Spam.
Zum Vergrößern anklicken....

Ich glaub wir reden aneinander vorbei...
Banking App kommt aus dem Store
Trojaner aus fragwürdiger Quelle
Link zum Trojaner aus der Phishing Mail (=! Spam)

Da sind wir uns schon einig ;-)

Beispiel: Angenommen mich interessiert Software/IT/EDV etc absolut nicht und ich mache mir auch keine Gedanken darüber, weil es wichtigere Sachen für mich gibt.

Meine Bank bewirbt auf ihrer Homepage eine tolle Mobile Banking App, die mir meinen stressigen Alltag viel einfacher macht, und da ich mich mit Überweisungen etc nicht sonderlich viel auseinander setzen will, installiere ich mir die App auf meinem Handy (mit Gmail Konto - sonst gehts ja nicht)
Einige Zeit (Tage/Wochen/Monate) bekomme ich auf mein Gmail Konto eine Mail von meiner Bank, in der mir mitgeteilt wird, dass ich mein mobiles Banking noch sicherer machen kann, in dem ich das neueste Sicherheitszertifikat installiere.

Ich habe schon mal was davon gehört, dass es Betrüger gibt, die per Mail auffordern Daten einzugeben. Mir wurde auch erzählt dass diese Mails oft in schlechtem Deutsch sind und ich das auf keinen Fall machen darf. Vorallem meine TANs nicht preisgebe.

Die Mail sagt mir, zum besseren Schutz deiner TANs vor Betrügern hol dir das Zertifikat.

Beispiel Ende

Der Endanwender liest sich nicht durch, welche App welche Berechtigungen braucht, und selbst wenn, würde er es nicht verstehen. Jedes Angry Bird nimmt Rechte, die es so nicht bräuchte - der Endkunde wurde mittlerweile so erzogen dass er Rechtevergabe nicht hinterfragen braucht, weil es eh keinen Sinn ergibt wieso ein Spiel auf das Adressbuch zugreifen darf etc...
Und selbst wenn er noch dazu aufgefordert wird, Entwickleroptionen zu aktivieren, dann muss er das nicht skeptisch finden, weil diese Geräte einfach viel zu komplex sind um sich damit vollständig auseinander zu setzen.

Was ich ursprünglich sagen wollte ist: Selbst Schuld ist hier definitiv nicht die richtige/angebrachte Aussage
 
major_tom111 schrieb:
Und selbst wenn er noch dazu aufgefordert wird, Entwickleroptionen zu aktivieren, dann muss er das nicht skeptisch finden, weil diese Geräte einfach viel zu komplex sind um sich damit vollständig auseinander zu setzen.

Was ich ursprünglich sagen wollte ist: Selbst Schuld ist hier definitiv nicht die richtige/angebrachte Aussage
Zum Vergrößern anklicken....
Der Argumentation folgend trifft das je nach Kenntnisstand der Person immer zu. Angebliche Polizisten oder Bankangestellte klingeln an der Tür und wollen auf Falschgeld prüfen oder die EC-Karte tauschen.

Zusätzlich empfiehlt meist jede Bank die Banking-App nicht auf dem Telefon auszuführen auf dem man auch die TAN empfängt. Die Bank hat häufig gar keine E-Mail-Adresse von einem, z.B. meine Sparkasse. Die Googelmail-Adresse nutzen die meisten nur zum Betrieb von Android und nicht als Postfach.

Und zum schlechten Deutsch: Auf dem Bild ist doch schon im ersten Satz der Genitiv gestorben. Müsste das nicht "wegen der häufigen Fälle" statt "wegen den häufigen Fällen" heißen?
 
Aber ist es nicht so, dass ich nur Apps installieren kann, die im Playstore sind? Ist dieses Zertfikat eine App? Falls ja, muss ich den Download aus nicht sicherer Quelle zulassen.
Und das hat Lieschen Müller nicht. Und wer es zulässt und dann darauf reinfällt, Pech gehabt, habe ich kein Mitleid mit.

Oder sehe ich das falsch? Kann das jedem Nutzer passieren? Auch Usern, die die Erlaubnis der Installation von Fremdquellen nicht erlaubt haben?
 
Corros1on schrieb:
Gott sei dank hatte mein Bank nicht einmal meine Mailadresse und solange es noch eine Filiale von meiner Bank in der Nähe ist werde ich nicht mit dem ONLINEBANKING anfangen.
Zum Vergrößern anklicken....

Die Gefahr ist hier, dass man sowohl die Überweisung selbst als auch die mTan übers gleiche Gerät macht.

Überweisung über PC durchführen und die mTan übers Handy ist deutlich sicherer.
 
Banking mache ich grundätzlich NIE übers Tablet/Smartphone. Aber schon erschreckend das immer noch Leute auf solche Mails reinfallen - nicht nur am Smartphone.
 
Wilhelm14 schrieb:
Der Argumentation folgend trifft das je nach Kenntnisstand der Person immer zu. Angebliche Polizisten oder Bankangestellte klingeln an der Tür und wollen auf Falschgeld prüfen oder die EC-Karte tauschen.
Zum Vergrößern anklicken....

Ja da hast du recht, in in der Tat passiert es immer noch recht häufig, dass die Enkelin Geld von der Oma braucht oder der Techniker die Wartung durchführen muss.

Wilhelm14 schrieb:
Zusätzlich empfiehlt meist jede Bank die Banking-App nicht auf dem Telefon auszuführen auf dem man auch die TAN empfängt. Die Bank hat häufig gar keine E-Mail-Adresse von einem, z.B. meine Sparkasse. Die Googelmail-Adresse nutzen die meisten nur zum Betrieb von Android und nicht als Postfach.
Zum Vergrößern anklicken....
Ich weiß dass die Bank die Mail Addy nicht hat, du weißt es, Otto weiß es nicht - daher auch meine Argumentation: Der Otto könnte meinen dass die App von seiner Bank kommt, und wenn er die App nur mit Gmail Konto bekommt, wäre es für ihn auch naheliegend, dass die Bank seine Gmail Addy kennt.
Ich sage auch nicht, dass das einem Technik affinen Menschen passieren wird. Bei Menschen, die sich mit dem PC höchstens zum Empfangen von Mails auseinandersetzen ist das Risiko bedeutend höher

Wilhelm14 schrieb:
Und zum schlechten Deutsch: Auf dem Bild ist doch schon im ersten Satz der Genitiv gestorben. Müsste das nicht "wegen der häufigen Fälle" statt "wegen den häufigen Fällen" heißen?
Zum Vergrößern anklicken....

Zweifelsfrei aber immer noch um Welten besser als das, was ich bisher in diesem Bereich gelesen habe
Ergänzung ()

Oliko67 schrieb:
Banking mache ich grundätzlich NIE übers Tablet/Smartphone. Aber schon erschreckend das immer noch Leute auf solche Mails reinfallen - nicht nur am Smartphone.
Zum Vergrößern anklicken....

ich arbeite für eine Bank, daher weiß ich, dass der Zahlungsverkehr über mobile banking immer mehr wird. Bedeutet auch, dass nicht mehr nur "Nerds" mobile banking betreiben, sondern auch jene, die sich mit der Materie nicht sonderlich auseinandersetzen
 
Früher wurden übrigens Geldautomaten verteufelt. Warum?
Weil sie auch nachts auf haben und böse Menschen sich nachts ins Gebüsch gelegt haben, um Lieschen Müller mit dem Knüppel zu bearbeiten, wenn sie mit voller Geldbörse vom Automaten kommt :evillol:.
 
major_tom111 schrieb:
ich arbeite für eine Bank, daher weiß ich, dass der Zahlungsverkehr über mobile banking immer mehr wird. Bedeutet auch, dass nicht mehr nur "Nerds" mobile banking betreiben, sondern auch jene, die sich mit der Materie nicht sonderlich auseinandersetzen
Zum Vergrößern anklicken....

Da kann ich aber nur sagen meist selber schuld, ich bin bei der DiBa Kunde und da wurde offen im Onlinebanking Bereich geworben, dass es jetzt ne App gibt und dass alles für Tablet optimiert wurde ANSTATT da mal zu sagen nein STOP ihr sollt nicht draußen am Balkon mitn Tablet Bankgeschäfte machen sondern ordentlich am PC.
 
tree-snake schrieb:
Da kann ich aber nur sagen meist selber schuld, ich bin bei der DiBa Kunde und da wurde offen im Onlinebanking Bereich geworben, dass es jetzt ne App gibt und dass alles für Tablet optimiert wurde ANSTATT da mal zu sagen nein STOP ihr sollt nicht draußen am Balkon mitn Tablet Bankgeschäfte machen sondern ordentlich am PC.
Zum Vergrößern anklicken....

und warum ist das jetzt selbst schuld kunde und nicht selbst schuld bank? Genau das ist es ja, jede Bank wirbt derzeit massiv mit der mobile banking plattform, aber über die Risiken steht nur was im kleingedruckten, wenn überhaupt
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Android Smartphone mit Trojaner infiziert
Antworten
16
Aufrufe
1.947
TriggerThumb87
T
SVΞN
News AppGallery: Joker-Malware infiziert über 500.000 Huawei-Smartphones
6 7 8
Antworten
146
Aufrufe
35.474
Blutschlumpf
Blutschlumpf
H
GVU Trojaner...Infiziert oder nicht?
2
Antworten
26
Aufrufe
7.513
kammerjaeger1
K
MichaG
News Über 600.000 Macs mit Flashback-Trojaner infiziert
6 7 8
Antworten
151
Aufrufe
24.868
xii
X
Tito_2000
inDiablo und inWOW gehackt, Trojaner infiziert Rechner
Antworten
1
Aufrufe
1.154
BrollyLSSJ
BrollyLSSJ

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz