Banking-Trojaner: Wie Banking-Trojaner fremde Konten abräumen

Die Kreativität der Kriminellen ist unerschöpflich: Mit einem Mix aus leistungsstarker Malware und ausgefeilter Psychologie räumen sie auch hierzulande Onlinebanking-Konten ab – mit teilweise bestechender Präzision. Wer Verdacht schöpft, bekommt sogar eine falsche Callcenter-Nummer untergeschoben.

Dieser Beitrag ist mehr als 9 Jahre alt.
Bild: Florian Strohmaier, MittelstandsWiki

Nichts glauben, was der Browser zeigt!

Von Uli Ries

Trojaner, die das Onlinebanking unsicher machen, können mittlerweile relativ leicht weitere Schadfunktionen nachladen. Antivirenfachmann Jean-Ian Boutin von ESET ist angesichts der Leistungsfähigkeit heutiger Injects überzeugt, dass sie inzwischen die wichtigste Komponente der Banking-Malware darstellen. Die Komponenten können Informationen wie Kontostand oder Überziehungslimit auslesen und mit diesen Angaben ihre Fischzüge so anpassen, dass die Überweisungen in jedem Fall durchgehen. Anschließend modifizieren sie noch die Anzeige des Kontostands im Browser, sodass die illegal ausgelösten Überweisungen nicht auftauchen. Erst die gedruckten Kontoauszüge am Monatsende liefern dann den Beleg für den Raubzug.

Laut Symantec änderte der hauptsächlich auf britische Banken abgerichtete Trojaner Shylock (auch als Caphaw bekannt) per Web Inject sogar die Kontakttelefonnummer der Bank. Rief ein Kunde diese Nummer an, weil er z.B. bei der Aufforderung, Software auf seinem Smartphone zu installieren, misstrauisch wurde, überzeugten ihn die indischen Callcenter-Mitarbeiter von der Korrektheit der Anweisung. Natürlich waren es keine Mitarbeiter der Bank. Es waren Telefonisten im Auftrag der Kriminellen.

Zitmo2 kaspersky.png
Unverdächtig: Die erste Android-Version von Zeus in the Mobile tarnte sich als Security-App, die nach dem Start lediglich einen angeblichen Sicherheitscode anzeigte. (Bild: Kaspersky)

Zitmo3 kaspersky.png
Noch unverdächtiger: Spätere Versionen von ZitMo gaben sich als Security Suite für Android aus, entwendeten aber insgeheim die SMS-TANs. (Bild: Kaspersky)

Wo die Kriminellen keinen Zugriff aufs Smartphone bekommen, um das mTAN-Verfahren auszuhebeln, nutzen sie per Web Inject Social-Engineering-Techniken: So blendet der Trojaner einem Symantec-Sprecher zufolge nach dem Login des Kunden eine Meldung ein, dass eine fehlerhafte Überweisung auf seinem Kundenkonto gelandet sei. Man möge diesen Betrag – der per Web Inject auch in die Kontohistorie geschmuggelt wird – doch bitte an die Bank zurücküberweisen.

Abgesichert gegen Security-Maßnahmen

Doch nicht nur die Web Injects entwickeln sich fort, sondern auch der Code bzw. die Infrastruktur der Trojaner selbst. Kommunizierten die infizierten Rechner (Bots) früher direkt mit dem C2C-Server (Command & Control), so geschieht das inzwischen per Peer to Peer. Jeder Bot kann per Kommando zum C2C befördert werden. Einfach die zentrale Instanz abzuschalten, ist damit praktisch nicht mehr möglich.

Außerdem nutzt z.B. ZeuS zum – seit jeher verschlüsselten – Datentransfer nicht mehr TCP (Transmission Control Protocol), sondern UDP (User Datagram Protocol). Das statuslose UDP ist für IDS/IPS-Lösungen oder Antivirenforscher erheblich schwieriger zu analysieren und die Bots steigern so ihre Chance, ungestört miteinander zu kommunizieren.

Laut Kaspersky brachte eine der ZeuS-Varianten noch eine besondere Funktion zur Qualitätssicherung mit: Der Schädling aktivierte unbemerkt die Webcam des Opfers, sobald es vor der modifizierten Banking-Seite saß. Offenbar wollten die Kriminellen am Gesichtsausdruck ablesen, wie überzeugend ihr Betrugsversuch wirkte.

Erschwerend kommt hinzu, dass die jüngsten Malware-Methoden nurmehr wenig Möglichkeiten lassen, mit denen Hersteller von Antivirensoftware den Kampf gegen die Schädlinge aufnehmen könnten. So kann eine AV-Anwendung das Ausführen von Programmcode nicht unterbinden. Selbst die Installation einer schädlichen Datei lässt sich mangels API nicht stoppen. Alles, was der Schutzsoftware bleibt, ist, den Anwender nach erfolgter Malware-Infektion zu warnen.

Wer abhebt, geht aus der Deckung

Die Kriminellen haben in Wirklichkeit ein größeres Problem als Security-Software. Was sie beschäftigt ist die Frage, wer ihnen die Beute auszahlt. In der Regel helfen hierbei (neben Überweisungen per Western Union ins Ausland) sogenannte Finanzagenten, also per Spam-Mail („Verdienen Sie bis zu 3000 Euro pro Monat von zu Hause aus!“) angeworbene Zeitgenossen, auf deren Girokonto das geraubte Geld landet. Die Finanzagenten (engl. Money Mules) haben von der Herkunft des Geldes meist keine Ahnung. Sie heben den überwiesenen Betrag von ihrem Konto ab, übergeben ihn in bar an die Kriminellen und bekommen dafür einen Teil als Provision.

Serie: Banking-Trojaner
Teil 1 sagt, warum sich Onlinebanking für Cyberkriminelle lohnt: Es ist gar nicht so schwer, Überweisungen von fremden Konten freizuschalten. Teil 2 schildert, wie sich die Banking-Trojaner einschleichen und warum Money Mules so schwer zu finden sind. Ein Sonderbeitrag erklärt genauer, wie die Gangster per Dual-SIM-Karte die SMS mit der mTAN abfischen.

Fachleuten zufolge, die die einschlägigen Untergrundforen im Auge behalten, gibt es seit Jahren einen Engpass an zuverlässigen Finanzagenten. Das erstaunt kaum – sind sie es doch, denen am ehesten die Verhaftung droht. Denn sie sind oft der einzige Teil der Betrugsmasche, den die Strafverfolger ermitteln – dann droht ihnen eine Anklage wegen Geldwäsche.

Namen von bewährten Money Mules werden in einschlägigen Kreisen heiß gehandelt. Denn ihnen vertrauen die Kriminellen auch größere Überweisungen an und senken so ihr eigenes Risiko. Je weniger Einzelüberweisungen und Beteiligte, desto geringer die Wahrscheinlichkeit, dass Sicherungssysteme oder Strafverfolger dazwischengrätschen. Außerdem müssen die Kriminellen die Kontodaten der Money Mules per Hand im Backend-System des Trojaner-Netzwerks eingeben. Bei ständig neuen „Mitarbeitern“ ist der Aufwand natürlich entsprechend höher.

MittelstandsWiki 16.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2015. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Fazit: Wohin mit all der Beute?

Kaspersky analysierte Anfang 2014 Log-Dateien auf 14 C2C-Servern einer unbekannten Banking-Malware. Ergebnis: Innerhalb von acht Tagen konnten die Kriminellen 550.000 Euro auszahlen lassen, wobei einzelne Überweisungen auf die Konten der Money Mules bis zu 60.000 Euro erreichten. Die Log-Dateien legen den Schluss nahe, dass noch mehr Geld auf Auszahlung wartete, aber einfach keine verlässlichen Finanzagenten mehr bereitstanden.

Wie angespannt die Lage sein muss, lässt sich gut am Beispiel der acht Kriminellen ablesen, die in Osnabrück vor Gericht stehen: Einer spannte sogar seine eigene Mutter ein, um das Bargeld abzuheben.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links