Smartphone-Trojaner späht Online-Banking-Daten aus: PIN und TAN in Gefahr

Das Online-Magazin heise security berichtet über einen Trojaner für Android Smartphones, der unter anderem PIN und mobileTAN für das Online-Banking abgreife. Die betroffenen Nutzer hatten eine E-Mail erhalten, die angeblich von ihrer Bank stammte und zur Installation einer „SSL-Zertifikat App“ aufforderte. "Wir erinnern Sie, dass ab dem 25 April die Nutzung des mobilen TAN-Service nur mit der SSL-Zertifikat App möglich ist", heißt es in der Mail unter dem Betreff "Extended Validation-Zertifikate (EV-SSL-Zertifikat) im Android".

Wer die angegebene Webseite mit einem Android-Smartphone besucht, wird aufgefordert, eine spezielle App zu installieren, um sein Online-Banking zu sichern. Zum Abschluss der Installation wird – zu einer vermeintlichen Authentifizierung – die PIN des Online-Banking Accounts abgefragt.

Laut der Analyse von heise Security erlangt die „App“ Zugriff auf SMS und Netzwerk und nehme darüber – vom Nutzer unbemerkt – Kontakt mit einem Server in den USA auf – ein Weg, auf dem potenziell auch mobileTAN, die zukünftig an das Smartphone gesendet werden, abgegriffen werden könnten.

Stutzig machen sollte den Nutzer die bei der Installation erfolgende Aufforderung, in den Smartphone-Einstellungen auch die Installation von Apps aus unbekannten Quellen zuzulassen. Zum Schutz vor Schadsoftware sollte diese Option grundsätzlich ausgeschaltet bleiben.

Anmerkung der BBBank:
Auch wenn sich die Kommunikation an den OnlineBanking-Anwender per Mail von den bisherigen Vorgehensweisen in diesem Bereich unterscheidet, bleibt der Versuch, eine zusätzliche Software auf dem Endgerät des Kunden zu installieren identisch.