Zeus-Trojaner knackt mTAN-Verfahren unter Android

[quercus]

Die Schadsoftware ZeUS-in-the-Mobile (ZitMo) ist jetzt auch eine Gefahr für Nutzer von Android-Smartphones. Betrüger können auf diese Weise das mobile TAN-Verfahren aushebeln, wenn sie sowohl den PC als auch das Smartphone eines Opfers unter ihre Kontrolle gebracht haben.

Hier gehts zur News.

 

[Lip]

War klar das sowas kommt. Wirklich geknackt wurde das mTan Verfahren aber auch nicht. Sonst müsste es meinem Verständnis nach möglich sein, selbst gültige TANs für ein fremdes Konto zu generieren.

 

[Firefly90]

Wenn sich der Trojaner schon als Sicherheitssoftware tarnt wie bekomme ich als Laie dann raus welche Software solche "Angriffe" verhindern kann?
Ist das überhaupt nötig?

 

[Lip]

Die Software, die solche Angriffe verhindern kann, bist Du selbst. Installiere nur Apps, denen man vertrauen kann. Steht sogar im Artikel

 

[Firefly90]

Ja das habe ich gelesen aber danke
Wenn ich jetzt z. B. ein Spiel haben will oder ein Bildbearbeitungsprogramm oder sowas dann weiß ich ja nicht ob das ein Virus ist. Ich lese mir zwar immer die Erfahrungen durch und das ganze aber sicher kann man sich ja nie sein

 

[Meico]

Hey macht doch nichts. Das ist die Gefahr wenn ein Betriebssystem offen ist. Sicherheit ist bei Android doch eh keine Priorität.

 

[hanschke]

du musst den selbst installieren. was hat das mit befallen zu tun? sind doch nicht bei der bildzeitung hier! wer virus.exe bzw. apk selbst installiert sollte sich nciht wundern.

da keine sicherheitslücke zur selbtverbreitung genutzt wird kann man schlecht von einem loch reden!

 

[Kranki]

Mein Kenntnisstand zu der Sache ist, dass der Trojaner keine Sicherheitslücke ausnutzt sondern vom Nutzer selbst auf dem Mobiltelefon installiert werden muss.
Außerdem hat man an dem Punkt, wo man aufgefordert wird, den Trojaner auf dem Telefon zu installieren, schon einen Trojaner auf dem PC, was ein mindestens genauso großes Problem ist.

 

[kr4mb3]

ALso ich hab da keine Befürchtungen. Bei meinem i7500 wird die app im Hintergrund wegen Speicher-engpässen so schnell beendet, dass die weder zeit hat was aufzuzeichnen noch wegzuschicken^^

Allerdings finde ich das zunehmende Viren-Wachstum bedenklich... und es wird sicher nicht bei Trojanern bleiben....

 

[Fr4gg0r]

 

[bigron]

Also gut finde ich dass Android jedesmal vor der installation von apps die Rechte die die App fordert anzeigt. Jedoch wird hier wohl oft einfach auf Installieren geklickt ohne dass man diese angezeigten Rechte die die App anfordert ausführlich durchließt.

Ich wollte z.B. die "CM_PlusToolbox2.10" installieren die man im Ho!No! CM7 Mod thread findet aber die app will zu viel "Kontrolle" wie z.B. auch kostenpflichtige SMS verschicken. Aus diesem Grund habe ich es gelassen dies zu installieren bevor ich mir bzgl bevor sich mein Stein etwas zuzieht.
Es liegt wie auch am PC zu 99% am User bzw. an der "brain.exe" ob ein System infiziert wird oder nicht.

Bei Android regt mich die Update politik der ganzen Provider,Hersteller auf. Sicherheitslücken werden nicht rechtzeitig durch Updates geschlossen. Ich nenne da nur mal Motorola.

Ich bin der Meinung dass Smartphones genauso wie komplett PCs mit dem OS eigener Wahl bespielt werden sollen können. Somit bleibt jedem selbst überlassen was für ein betriebssystem er/sie in welcher art und weise nutzt..

Ich denke mal sowas wird auch noch kommen. Hoffe ich mal.

 

[Tobiwan]

"Knackt mTAN-Verfahren"... Hmm, ja, das Teil kann SMS abfangen. Schön. Aber wie genau "knackt" dieser Trojaner das mTAN-Verfahren? mTANs sind doch nur für eine Transaktion gültig. Dazu müssten sie ja die Transaktion, die der Benutzer tätigt, manipulieren können. Außerdem glaube ich kaum, dass ein Nutzer länger als eine Minute brauch, um den mTAN einzugeben (oder sieht der Nutzer den erst gar nicht, da das durch den Trojaner komplett abgefangen wird?)

Naja jedenfalls sehe ich da noch kein Problem drin.

Man sollte aber immer darauf schauen, was für Rechte eine App benötigt, die man installiert. Ich finde, App-Entwickler sollten da auch mehr Transparenz bieten, indem sie sagen warum ihre App diese Rechte benötigt und wofür.

 

[geminga]

Ich bin der Meinung dass Smartphones genauso wie komplett PCs mit dem OS eigener Wahl bespielt werden sollen können. Somit bleibt jedem selbst überlassen was für ein betriebssystem er/sie in welcher art und weise nutzt..

Ich denke mal sowas wird auch noch kommen. Hoffe ich mal.

Openmoko, Inc.

Ich finde, App-Entwickler sollten da auch mehr Transparenz bieten, indem sie sagen warum ihre App diese Rechte benötigt und wofür.

"Hallo, das ist meine Security-App, die SMS-Rechte nur dazu verwendet, eure TANs zu klauen. Ganz harmlos." ...

 

[s!Le]

Wie schnell doch Kaspersky ist, wenn es um irgendwelche "Gefahren" geht. ^^

 

[geminga]

Wie schnell doch Kaspersky ist, wenn es um irgendwelche "Gefahren" geht. ^^

Sehr viel Spielraum für böse Gedanken

 

[muesli]

"Knackt mTAN-Verfahren"... Hmm, ja, das Teil kann SMS abfangen. Schön. Aber wie genau "knackt" dieser Trojaner das mTAN-Verfahren? mTANs sind doch nur für eine Transaktion gültig. Dazu müssten sie ja die Transaktion, die der Benutzer tätigt, manipulieren können. Außerdem glaube ich kaum, dass ein Nutzer länger als eine Minute brauch, um den mTAN einzugeben (oder sieht der Nutzer den erst gar nicht, da das durch den Trojaner komplett abgefangen wird?)

Geknackt ist gar nichts. Das beschriebene Szenario sieht so aus: Per Trojaner auf dem PC haben die Hacker Deine Zugangsdaten zum Online-Banking, dort tätigen Sie eine Überweisung, die dazu nötige TAN wird von Deinem Androiden zu den Hackern geschickt.

 

[s!Le]

Dazu müssen dann aber auch wirklich alle Kriterien stimmen.