Kann mir einer erklären, wie sowas ohne root möglich ist?Darüber hinaus schaltet sich der Trojaner auch in den Bootvorgang des Smartphones ein und setzt sich so auf dem Telefon fest.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Malware: mTAN-Trojaner infiziert Android-Smartphones
- Ersteller Daniel
- Erstellt am
- Zur News: Malware: mTAN-Trojaner infiziert Android-Smartphones
NoD.sunrise schrieb:Wie dämlich muss man sein auf diese "Malware" hereinzufallen und was hat das mit "infizieren" zu tun wenn ich es selbst bewusst installiere?
1. Ich muss auf eine Bank Fishing Mail reinfallen, allein das sollte doch wirklich der letzte DAU wissen dass man NIE auf irgendwelche Links in angeblichen Mails der Bank klickt.
2. Muss ich die Installation aus unbekannten Quellen freigeben
3. Muss ich die App Installation zulassen
4. Muss ich die Rechte auf SMS welche die App fordert abnicken
Genau das habe ich mir auch gedacht. Die üblichen Verdächtigen sind dazu nicht imstande und können eh kein Smartphone bedienen - schon gar nicht mit Android OS ^^
Pr0krastinat0r
Lt. Commander
- Registriert
- Feb. 2007
- Beiträge
- 2.037
Faustregel: Keine seriöse Bank schickt ihren Kunden E-Mails, welche nach der Eingabe von TANs verlangen. Wer auf diese reagiert und TANs oder Kreditkarteninformationen eingibt, der/die hat selber Schuld. Wichtige Unterlagen werden meistens noch per Post verschickt (sofern die Post nicht gerade streikt).
spinthemaster
Commander
- Registriert
- Sep. 2010
- Beiträge
- 2.250
Ich finde es wirklich erstaunlich, dass hier alle möglichen Lücken bei Android und Herstellern, die Android verwenden hingewiesen wird, aber über die XARA Probleme in iOS und OS X wurde hier noch mit keiner News, Artikel oder sonstwie hingewiesen...
major_tom111
Lt. Junior Grade
- Registriert
- Mai 2011
- Beiträge
- 457
Miniami schrieb:Faustregel: Keine seriöse Bank schickt ihren Kunden E-Mails, welche nach der Eingabe von TANs verlangen.
Das ist eine glatte Falschinformation, und genau da liegt de Hund begraben!
Es wurde jahrelang das Bild geprägt: Banken fragen euch niemals nach TANs; Ihr erkennt Phishing am schlechten deutsch etc...
Nun kommt eine Mail welche genau dieses Szenario angibt und in der empfohlen wird, das neueste Sicherheitszertifikat zu installieren, damit man NOCH sicherer ist.
Faustregel: Keine Bank verschickt eMails ohne vorher von einem direkt angesprochen worden zu sein!
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.633
Wer ist hier Betreiber welcher App? Die Gauner sind Betreiber des Trojanischen Pferdes (App)? Und wer braucht deine E-Mail-Adresse? Deine Bank oder die Gauner?major_tom111 schrieb:Es ist auch naheliegend, dass der App Betreiber meine eMail Adresse hat, denn die ist ja auch notwendig, um die Banking App überhaupt herunter zu landen.
Eigentlich verschicken die Gauner wahllos per Spam E-Mails. So erhalten auch Leute diese E-Mail, die gar nicht bei der Postbank sind.
M@rsupil@mi
Vice Admiral
- Registriert
- Jan. 2013
- Beiträge
- 6.399
Noch einfacherer: Alles, was man nicht erwartet, aber laut Mail was machen (klicken, öffnen, ausfüllen, etc.) soll, ist ein Betrugsversuch.major_tom111 schrieb:Faustregel: [...]
major_tom111
Lt. Junior Grade
- Registriert
- Mai 2011
- Beiträge
- 457
Wilhelm14 schrieb:Wer ist hier Betreiber welcher App? Die Gauner sind Betreiber des Trojanischen Pferdes (App)? Und wer braucht deine E-Mail-Adresse? Deine Bank oder die Gauner?
Eigentlich verschicken die Gauner wahllos per Spam E-Mails. So erhalten auch Leute diese E-Mail, die gar nicht bei der Postbank sind.
Mobile Banking =! Web Banking
Und für Mobile Banking wird immer noch eine App benötigt, und gerade Banken haben nicht immer Softwareentwicklung als ihr Hauptgeschäftsfeld, daher kann der Betreiber einer App auch jemand anderer sein als die Bank deren Name auf der App steht.
Und zum Download aus dem Android Store ist immer noch ein Google Konto samt Mail Adresse erforderlich und es würde mich nicht wundern, wenn der App Entwickler (Betreiber) Zugriff auf diese Informationen hat.
Selbst wenn nicht, so ist es eine plausible Assoziationskette die für den Endkunden, der zufällig Bankkunde ist und die App verwendet schlüssig erscheint.
Zuletzt bearbeitet:
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.633
Ich kann dir ehrlich gesagt nicht folgen. Eine saubere Banking-App mag aus dem Play Store kommen, ja, was hat das mit dem Trojanischen Pferd zu tun? Das kommt ja aus unbekannter Quelle aus dem Internet. Aufgefordert wird man per E-Mail und da per Spam.
Edit: Du meinst der saubere Betreiber der sauberen Banking App schnappt sich die googlemail-Adresse? Und darüber kommt dann der Phishing-Versuch?
Edit: Du meinst der saubere Betreiber der sauberen Banking App schnappt sich die googlemail-Adresse? Und darüber kommt dann der Phishing-Versuch?
Zuletzt bearbeitet:
der_Schmutzige
Commander
- Registriert
- Juli 2004
- Beiträge
- 2.801
Hehe... ChipTan und Banking nur am Fest-PC.
riDDi
Admiral
- Registriert
- Aug. 2004
- Beiträge
- 7.558
hrafnagaldr schrieb:Zum Tätigen der Überweisung braucht aber er aber auch den Login zum Onlinebanking.
frank00000 schrieb:Um eine Überweisung zu tätigen nützt aber das TAN Phishing Programm nichts.
Also ohne vorher Zugang zum Konto zu haben ist das Android Programm nutzlos.
Exakt. Deshalb ist das auch die erste Stufe. Wenn man jemandem erst (per Mail) die Kontozugangsdaten abgeluchst hat, dann schafft man es mit dieser Masche vmtl. auch sehr oft das Smartphone zu infizieren. Da keine Handarbeit im Spiel ist, macht es auch nichts wenn die Erfolgsquote niedrig ist. Ein paar Reingelegte reichen schon für Profit.
syntax868 schrieb:Kann mir einer erklären, wie sowas ohne root möglich ist?
Gar nicht. Gemeint ist sicher, dass die App nach dem Boot direkt ihren Service startet, um SMS abfangen zu können. Dazu braucht es eine spezielle Berechtigung.
Zuletzt bearbeitet:
major_tom111
Lt. Junior Grade
- Registriert
- Mai 2011
- Beiträge
- 457
Wilhelm14 schrieb:Ich kann dir ehrlich gesagt nicht folgen. Eine saubere Banking-App mag aus dem Play Store kommen, ja, was hat das mit dem Trojanischen Pferd zu tun? Das kommt ja aus unbekannter Quelle aus dem Internet. Aufgefordert wird man per E-Mail und da per Spam.
Ich glaub wir reden aneinander vorbei...
Banking App kommt aus dem Store
Trojaner aus fragwürdiger Quelle
Link zum Trojaner aus der Phishing Mail (=! Spam)
Da sind wir uns schon einig ;-)
Beispiel: Angenommen mich interessiert Software/IT/EDV etc absolut nicht und ich mache mir auch keine Gedanken darüber, weil es wichtigere Sachen für mich gibt.
Meine Bank bewirbt auf ihrer Homepage eine tolle Mobile Banking App, die mir meinen stressigen Alltag viel einfacher macht, und da ich mich mit Überweisungen etc nicht sonderlich viel auseinander setzen will, installiere ich mir die App auf meinem Handy (mit Gmail Konto - sonst gehts ja nicht)
Einige Zeit (Tage/Wochen/Monate) bekomme ich auf mein Gmail Konto eine Mail von meiner Bank, in der mir mitgeteilt wird, dass ich mein mobiles Banking noch sicherer machen kann, in dem ich das neueste Sicherheitszertifikat installiere.
Ich habe schon mal was davon gehört, dass es Betrüger gibt, die per Mail auffordern Daten einzugeben. Mir wurde auch erzählt dass diese Mails oft in schlechtem Deutsch sind und ich das auf keinen Fall machen darf. Vorallem meine TANs nicht preisgebe.
Die Mail sagt mir, zum besseren Schutz deiner TANs vor Betrügern hol dir das Zertifikat.
Beispiel Ende
Der Endanwender liest sich nicht durch, welche App welche Berechtigungen braucht, und selbst wenn, würde er es nicht verstehen. Jedes Angry Bird nimmt Rechte, die es so nicht bräuchte - der Endkunde wurde mittlerweile so erzogen dass er Rechtevergabe nicht hinterfragen braucht, weil es eh keinen Sinn ergibt wieso ein Spiel auf das Adressbuch zugreifen darf etc...
Und selbst wenn er noch dazu aufgefordert wird, Entwickleroptionen zu aktivieren, dann muss er das nicht skeptisch finden, weil diese Geräte einfach viel zu komplex sind um sich damit vollständig auseinander zu setzen.
Was ich ursprünglich sagen wollte ist: Selbst Schuld ist hier definitiv nicht die richtige/angebrachte Aussage
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.633
Der Argumentation folgend trifft das je nach Kenntnisstand der Person immer zu. Angebliche Polizisten oder Bankangestellte klingeln an der Tür und wollen auf Falschgeld prüfen oder die EC-Karte tauschen.major_tom111 schrieb:Und selbst wenn er noch dazu aufgefordert wird, Entwickleroptionen zu aktivieren, dann muss er das nicht skeptisch finden, weil diese Geräte einfach viel zu komplex sind um sich damit vollständig auseinander zu setzen.
Was ich ursprünglich sagen wollte ist: Selbst Schuld ist hier definitiv nicht die richtige/angebrachte Aussage
Zusätzlich empfiehlt meist jede Bank die Banking-App nicht auf dem Telefon auszuführen auf dem man auch die TAN empfängt. Die Bank hat häufig gar keine E-Mail-Adresse von einem, z.B. meine Sparkasse. Die Googelmail-Adresse nutzen die meisten nur zum Betrieb von Android und nicht als Postfach.
Und zum schlechten Deutsch: Auf dem Bild ist doch schon im ersten Satz der Genitiv gestorben. Müsste das nicht "wegen der häufigen Fälle" statt "wegen den häufigen Fällen" heißen?
- Registriert
- Apr. 2004
- Beiträge
- 29.596
Aber ist es nicht so, dass ich nur Apps installieren kann, die im Playstore sind? Ist dieses Zertfikat eine App? Falls ja, muss ich den Download aus nicht sicherer Quelle zulassen.
Und das hat Lieschen Müller nicht. Und wer es zulässt und dann darauf reinfällt, Pech gehabt, habe ich kein Mitleid mit.
Oder sehe ich das falsch? Kann das jedem Nutzer passieren? Auch Usern, die die Erlaubnis der Installation von Fremdquellen nicht erlaubt haben?
Und das hat Lieschen Müller nicht. Und wer es zulässt und dann darauf reinfällt, Pech gehabt, habe ich kein Mitleid mit.
Oder sehe ich das falsch? Kann das jedem Nutzer passieren? Auch Usern, die die Erlaubnis der Installation von Fremdquellen nicht erlaubt haben?
tree-snake
Captain
- Registriert
- Feb. 2005
- Beiträge
- 3.298
Corros1on schrieb:Gott sei dank hatte mein Bank nicht einmal meine Mailadresse und solange es noch eine Filiale von meiner Bank in der Nähe ist werde ich nicht mit dem ONLINEBANKING anfangen.
Die Gefahr ist hier, dass man sowohl die Überweisung selbst als auch die mTan übers gleiche Gerät macht.
Überweisung über PC durchführen und die mTan übers Handy ist deutlich sicherer.
major_tom111
Lt. Junior Grade
- Registriert
- Mai 2011
- Beiträge
- 457
Wilhelm14 schrieb:Der Argumentation folgend trifft das je nach Kenntnisstand der Person immer zu. Angebliche Polizisten oder Bankangestellte klingeln an der Tür und wollen auf Falschgeld prüfen oder die EC-Karte tauschen.
Ja da hast du recht, in in der Tat passiert es immer noch recht häufig, dass die Enkelin Geld von der Oma braucht oder der Techniker die Wartung durchführen muss.
Ich weiß dass die Bank die Mail Addy nicht hat, du weißt es, Otto weiß es nicht - daher auch meine Argumentation: Der Otto könnte meinen dass die App von seiner Bank kommt, und wenn er die App nur mit Gmail Konto bekommt, wäre es für ihn auch naheliegend, dass die Bank seine Gmail Addy kennt.Wilhelm14 schrieb:Zusätzlich empfiehlt meist jede Bank die Banking-App nicht auf dem Telefon auszuführen auf dem man auch die TAN empfängt. Die Bank hat häufig gar keine E-Mail-Adresse von einem, z.B. meine Sparkasse. Die Googelmail-Adresse nutzen die meisten nur zum Betrieb von Android und nicht als Postfach.
Ich sage auch nicht, dass das einem Technik affinen Menschen passieren wird. Bei Menschen, die sich mit dem PC höchstens zum Empfangen von Mails auseinandersetzen ist das Risiko bedeutend höher
Wilhelm14 schrieb:Und zum schlechten Deutsch: Auf dem Bild ist doch schon im ersten Satz der Genitiv gestorben. Müsste das nicht "wegen der häufigen Fälle" statt "wegen den häufigen Fällen" heißen?
Zweifelsfrei aber immer noch um Welten besser als das, was ich bisher in diesem Bereich gelesen habe
Ergänzung ()
Oliko67 schrieb:Banking mache ich grundätzlich NIE übers Tablet/Smartphone. Aber schon erschreckend das immer noch Leute auf solche Mails reinfallen - nicht nur am Smartphone.
ich arbeite für eine Bank, daher weiß ich, dass der Zahlungsverkehr über mobile banking immer mehr wird. Bedeutet auch, dass nicht mehr nur "Nerds" mobile banking betreiben, sondern auch jene, die sich mit der Materie nicht sonderlich auseinandersetzen
- Registriert
- Apr. 2004
- Beiträge
- 29.596
Früher wurden übrigens Geldautomaten verteufelt. Warum?
Weil sie auch nachts auf haben und böse Menschen sich nachts ins Gebüsch gelegt haben, um Lieschen Müller mit dem Knüppel zu bearbeiten, wenn sie mit voller Geldbörse vom Automaten kommt .
Weil sie auch nachts auf haben und böse Menschen sich nachts ins Gebüsch gelegt haben, um Lieschen Müller mit dem Knüppel zu bearbeiten, wenn sie mit voller Geldbörse vom Automaten kommt .
tree-snake
Captain
- Registriert
- Feb. 2005
- Beiträge
- 3.298
major_tom111 schrieb:ich arbeite für eine Bank, daher weiß ich, dass der Zahlungsverkehr über mobile banking immer mehr wird. Bedeutet auch, dass nicht mehr nur "Nerds" mobile banking betreiben, sondern auch jene, die sich mit der Materie nicht sonderlich auseinandersetzen
Da kann ich aber nur sagen meist selber schuld, ich bin bei der DiBa Kunde und da wurde offen im Onlinebanking Bereich geworben, dass es jetzt ne App gibt und dass alles für Tablet optimiert wurde ANSTATT da mal zu sagen nein STOP ihr sollt nicht draußen am Balkon mitn Tablet Bankgeschäfte machen sondern ordentlich am PC.
major_tom111
Lt. Junior Grade
- Registriert
- Mai 2011
- Beiträge
- 457
tree-snake schrieb:Da kann ich aber nur sagen meist selber schuld, ich bin bei der DiBa Kunde und da wurde offen im Onlinebanking Bereich geworben, dass es jetzt ne App gibt und dass alles für Tablet optimiert wurde ANSTATT da mal zu sagen nein STOP ihr sollt nicht draußen am Balkon mitn Tablet Bankgeschäfte machen sondern ordentlich am PC.
und warum ist das jetzt selbst schuld kunde und nicht selbst schuld bank? Genau das ist es ja, jede Bank wirbt derzeit massiv mit der mobile banking plattform, aber über die Risiken steht nur was im kleingedruckten, wenn überhaupt
Ähnliche Themen
- Antworten
- 16
- Aufrufe
- 1.949
- Antworten
- 146
- Aufrufe
- 35.730
- Antworten
- 26
- Aufrufe
- 7.515
- Antworten
- 151
- Aufrufe
- 24.877
- Antworten
- 1
- Aufrufe
- 1.156