Elektronischer Bankraub per Handy: "Zeus" zockt weiter ab

Es dürfte das bislang größte Verfahren gegen Online-Gauner werden, die mit Hilfe von Schädlingsprogrammen Online-Banking-Konten unvorsichtiger Nutzer ausraubten: In Großbritannien und den USA sind mehr als 100 Menschen angeklagt, die zu einem internationalen Internet-Bankräuberring gehören sollen. Allein in den USA sollen dabei rund drei Millionen Dollar eingenommen worden sein, in Großbritannien noch einmal zehn Millionen - die Summe könnte aber noch steigen. Mindestens 20 Personen sitzen in Haft.

Noch ist allerdings unklar, ob wirklich auch Hintermänner gefasst werden konnten. So sind die in den USA festgenommenen Personen vor allem sogenannte "Mules", "Geldagenten", die im Auftrag ihnen unbekannter Dritter Geld von ausgeraubten Opfern entgegennahmen und es weiterleiteten - offenbar vor allem nach Osteuropa.

Dafür erhielten sie dann einen Prozentanteil der Beute, ließen sich durch die Polizei aber auch leicht ermitteln. Sie sollen unter anderem durch Anzeigen in russischen Zeitungen angeworben worden sein.

Der bei den virtuellen Raubzügen eingesetzte Datenschädling, genannt "Zeus", kursiert seit mindestens Frühjahr 2010. Er kam unter anderem per Spam-E-Mail auf die Festplatte Betroffener, und nutzte bis vor kurzem Windows-Sicherheitslücken aus.

Zeus wird über ein sogenanntes Botnetz zusammengehalten: Angegriffen werden nicht nur einzelne Rechner, sondern gleich viele Hundert, die dann zentral gesteuert werden können, um möglichst viele weitere Rechner zu infiltrieren.

Während in den USA und Großbritannien die Ermittlungsbehörden versuchen, das Netz der gut organisierten Online-Bankräuber zu durchschauen, geht die Abzocke allerdings unverdrossen weiter.

Varianten von Zeus kursieren nämlich immer noch, wobei unklar ist, wer sie kontrolliert. Bekannt ist nur, dass immer neue Versionen auftauchen, die zudem ständig anpassungsfähiger und "schlauer" werden.

Der bislang wohl heimtückischste Zeus-Spross nistet sich auf Smartphones ein. Wie das IT-Sicherheitsunternehmen S21Sec in dieser Woche bekannt gab, hat es eine Version isoliert, die geschickt den PC-Schädling mit Handy-Malware kombiniert.

Zeus öffnet dazu auf befallenen Rechnern ein Fenster und fordert den Benutzer auf, sein Mobiltelefon als "neues Sicherheitsmerkmal" anzugeben. Dort kann er dann sowohl Gerätemarke als auch Telefonnummer eingeben.

"Unterstützt" werden derzeit einige Blackberry-Modelle und Handys mit Symbian-Betriebssystem, das vor allem von Nokia genutzt wird. Hat das Opfer seine Daten eingegeben, erhält es eine SMS mit einem angeblichen Sicherheitsupdate, manchmal wird auch ein "Nokia Update" angekündigt.

Klickt man auf den in der SMS enthaltenen Link, wird dann eine Handy-Version von Zeus heruntergeladen, die S21Sec "Zitmo" (für "Zeus Man-in-the-Mobile") getauft hat.

Einmal auf dem Gerät, belauscht Zitmo den Ein- und Ausgang von SMS. Selbige werden mittlerweile bei zahlreichen Banken nämlich für so genannte "mTANs" verwendet, mobile Transaktionsnummern, die man zur Bestätigung von Online-Banking-Überweisungen eingeben muss.

Da sie über das Handy versendet werden und damit einen zweiten, vom PC unabhängigen Kanal verwenden, gelten mTANs als Sicherheitsgewinn. Allerdings hört Zitmo genau die nun ab und sendet sie zu seinen Urhebern, die dann das Konto abräumen können.

Unschönerweise besaß Zitmo bis vor kurzem sogar ein gültiges Entwickler-Sicherheitszertifikat, das dafür sorgte, dass auf Nokia-Handys bei der Installation keine Fehlermeldung auftrat, wie sie sonst bei Codes zwielichtigen Ursprungs auftaucht. Immerhin wurde das Zertifikat mittlerweile zurückgezogen, so dass ahnungslose Nutzer zumindest einmal gewarnt werden. Allerdings sind viele Smartphone-Besitzer gewohnt, solche Hinweise einfach wegzudrücken.

Die Attacke durch Zitmo zeigt, dass man mittlerweile auch auf Handys, die längst kleine Computer sind, höllisch aufpassen muss, was man installiert. Leichtgläubigkeit, so meinen auch die Sicherheitsforscher von S21Sec, sei da völlig fehl am Platze.