[datensicherheit.de, 24.08.2024] ESET-Forscher haben nach eigenen Angaben „eine Cybercrime-Kampagne aufgedeckt, die Kunden von drei tschechischen Banken ins Visier nahm“: Die eingesetzte Malware namens „NGate“ kann demnach die Daten von Zahlungskarten inklusive PIN der Opfer über eine bösartige, auf ihren „Android“-Geräten installierte App an das gerootete „Android“-Telefon des Angreifers übermitteln. Das Hauptziel dieser Kampagne sei es gewesen, unautorisierte Geldabhebungen von Geldautomaten aus den Bankkonten der Opfer zu ermöglichen. Dafür seien NFC-Daten (Nahfeldkommunikation) von den physischen Zahlungskarten der Opfer über ihre kompromittierten „Android“-Smartphones mithilfe der „Ngate“-„Android“-Malware ans Gerät des Angreifers weitergeleitet worden. „Der Angreifer nutzte diese Daten dann, um Transaktionen am Geldautomaten durchzuführen. Wenn diese Methode scheiterte, hatten die Angreifer einen ,Plan B’, bei dem sie Gelder von den Konten der Opfer auf andere Bankkonten übertrugen.“

ESET-Warnung: Die Malware kann Daten von NFC-fähigen Bankkarten auslesen und an Angreifer weiterleiten

„Wir haben diese neuartige NFC-Relais-Technik bisher bei keiner anderen ,Android’-Malware gesehen. Die Technik basiert auf einem Tool namens ,NFCGate’, das von Studenten der Technischen Universität Darmstadt entwickelt wurde, um NFC-Verkehr zu erfassen, zu analysieren oder zu verändern. Daher haben wir diese neue Malware-Familie ,NGate’ genannt“, berichtet der Entdecker dieser neuartigen Bedrohung und Technik, Lukáš Štefanko.

Die Betrüger nutzten eine Kombination aus bewährten Techniken wie „Social Engineering“, bei dem Menschen durch Täuschung zu bestimmten Handlungen verleitet würden, und Phishing, bei dem sie gefälschte Nachrichten oder Websites nutzten, um an persönliche Informationen zu gelangen. „In diesem Fall erhielten die Opfer eine SMS, die angeblich von ihrer Bank stammte und sie aufforderte, eine App herunterzuladen, um ein angebliches Problem mit ihrem Konto zu beheben.“

Nachdem die Opfer diese App auf ihrem Android-Smartphone installiert hatten, wurde ihr Gerät laut ESET von der „NGate“-Malware infiziert. Diese Malware könne Daten von NFC-fähigen Bankkarten auslesen und an die Angreifer weiterleiten. Mit diesen Daten könnten die Kriminellen dann Geld an einem Geldautomaten abheben, als hätten sie die Karte selbst in der Hand. Sogar die PIN könne über diese Schad-App erbeutet werden.

ESET entdeckte „NGate“-Malware erstmals im November 2023

Bisher seien vor allem Kunden von drei großen tschechischen Banken betroffen gewesen. „ESET entdeckte die NGate-Malware erstmals im November 2023. Die Angreifer verschickten ihre gefälschten Nachrichten an zufällig ausgewählte Mobilfunknummern in Tschechien.“

NFC ist eine Technologie, die es ermöglicht, Daten über kurze Distanzen drahtlos zu übertragen – und wird häufig für kontaktloses Bezahlen mit Bankkarten genutzt. „Wenn Sie Ihre Karte einfach über das Lesegerät an der Kasse halten, überträgt die NFC-Technologie die Zahlungsinformationen. In diesem Fall nutzten die Betrüger diese Technologie, um die Zahlungsdaten zu stehlen und auf ihren eigenen Geräten zu nutzen.“

Um sich vor solchen Angriffen zu schützen, raten ESET-Experten zu folgenden Vorsichtsmaßnahmen:

• „Öffnen Sie keine Links oder laden Sie keine Apps herunter, die Sie per SMS oder E-Mail erhalten, ohne die Echtheit zu prüfen!“
• „Laden Sie Apps nur aus offiziellen App-Stores wie dem ,Google Play Store’ herunter!“
• „Halten Sie Ihre PIN-Codes geheim und teilen Sie sie niemals per Nachricht mit!“
• „Verwenden Sie Sicherheits-Apps, die Ihr Smartphone vor Schadsoftware schützen!“
• „Deaktivieren Sie die NFC-Funktion Ihres Smartphones, wenn Sie sie nicht benötigen, um den unbefugten Zugriff auf Ihre Karten zu verhindern!“

ESET empfiehlt, sich über aktuelle Bedrohungen zu informieren und dem Rat von IT-Sicherheitsexperten zu folgen

Diese neue Betrugsmethode zeige, wie kreativ und gefährlich Kriminelle im Digitalen Zeitalter werden könnten. ESET betont, „dass es das erste Mal ist, dass eine derartige Malware im Umlauf entdeckt wurde, die ohne das sogenannte ,Rooten’ des Smartphones funktioniert“.

„Rooten“ bedeutet, dass tiefere Änderungen am Betriebssystem des Smartphones vorgenommen werden, was oft für bestimmte Arten von Schadsoftware notwendig ist – „dass dies hier nicht erforderlich war, macht die Malware besonders heimtückisch und für viele Nutzer gefährlich“.

Die Entdeckung der „NGate“-Malware zeige, „wie wichtig es ist, wachsam zu bleiben und Sicherheitsvorkehrungen zu treffen, wenn es um den Schutz der eigenen Finanzen geht“. Digitale Betrüger entwickelten ständig neue Methoden, um an Geld zu kommen. Daher sei es entscheidend, sich über aktuelle Bedrohungen zu informieren und den Rat von IT-Sicherheitsexperten zu befolgen.

Weitere Informationen zum Thema:

WeLiveSecurity, Lukas Stefanko & Jakub Osmani, 22.08.2024
NGate Android malware relays NFC traffic to steal cash

[datensicherheit.de, 15.02.2019] Viele Online-Banking-Nutzer unterschätzen offensichtlich die Gefahren durch betrügerische Banking-Apps. Solche geben sich als legitime Online-Banking-Anwendungen aus und erbeuten Geld oder Zugangsdaten. Während Banking-Trojaner seit Langem als ernsthafte Bedrohung für „Android“-Nutzer gälten, würden Finanz-Fake-Apps aufgrund ihrer begrenzten Möglichkeiten gerne übersehen, berichtet Lukáš Štefanko, „Malware Researcher“ bei ESET. Nach Einschätzung Štefankos sind die Anwendungen vor allem deshalb so effektiv, weil sie sich auf das Nachahmen legitimer Apps beschränken: „Ist die erste Hürde genommen und hat der Nutzer die vermeintlich legitime App installiert, wird er mit großer Wahrscheinlichkeit auch das weitere Verhalten der Software für gerechtfertigt halten.“

Finanz-Fake-Apps noch oft „unter dem Radar“

In der aktuellen Studie „Android Banking Malware: Sophisticated trojans vs. fake banking apps“ warnen Sicherheitsexperten von ESET davor, die Gefahr durch betrügerische Banking-Apps zu unterschätzen. Diese geben sich demnach als legitime Onlinebanking-Anwendungen aus und erbeuten Geld oder Zugangsdaten.
Banking-Trojaner würden seit Langem als ernsthafte Bedrohung für „Android“-Nutzer gelten, Finanz-Fake-Apps aufgrund ihrer begrenzten Möglichkeiten jedoch gerne übersehen. Obwohl technisch weniger komplex, erzielten sie ähnliche Ergebnisse wie die ausgeklügelten und kostspieligen Trojaner-Varianten.

Auf das Nachahmen legitimer Apps beschränkt

„Unsere Analyse dieser beiden Malware-Typen, die es leider auch immer wieder in den offiziellen ,Google Play Store‘ schaffen, zeigt vor allem eines: Gerade die geringe Komplexität der gefälschten ,Banking Apps‘ ist für die Angreifer ein entscheidender Vorteil gegenüber den gefürchteten Banking-Trojanern“, erläutert Štefanko.
Štefanko zufolge sind die Anwendungen vor allem deshalb so effektiv, „weil sie sich auf das Nachahmen legitimer Apps beschränken“. Entsprechend gebe der Nutzer bereitwillig Zugangsdaten preis. Anders als Banking-Trojaner forderten die gefälschten Banking-Apps keine weiteren Zugriffsrechte auf das Gerät und erregten so keinen Verdacht. Auch seien sie im Gegensatz zu Trojanern nicht auf Methoden angewiesen, die sie für Anti-Malware-Lösungen leicht erkennbar machen würden.

ESET-Tipps gegen Fake-Banking-Apps:

1. Halten Sie Ihr „Android“-Gerät auf dem aktuellsten Stand und nutzen Sie eine zuverlässige mobile Sicherheitslösung.
2. Vermeiden Sie inoffizielle App-Stores. Wenn möglich, deaktivieren Sie die „Installation aus unbekannten Quellen“ dauerhaft.
3. Bevor Sie eine App aus dem „Google Play Store“ installieren, werfen Sie einen Blick auf Bewertungen, Nutzerkommentare, Anzahl von Installationen und benötigte Zugriffsrechte. Behalten Sie das Verhalten der App auch nach Installation im Auge.
4. Installieren Sie ausschließlich Banking- und Zahlungs-Apps, die von Ihrer Bank oder Ihrem Finanzdienstleister bereitgestellt werden. Nutzen Sie die Verlinkungen auf deren offizieller Webseite, um zum App-Store zu gelangen.

Weitere Informationen zum Thema:

welivesecurity BY eset, 15.02.2019
Android Banking Malware unter der Lupe / Banking Malware war eine der Top-Schadsoftwares, die 2018 gegen Android-User eingesetzt wurde. Im Interview erklärt Lukáš Štefanko das neue Whitepaper.

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

datensicherheit.de, 25.07.2018
Sicherheitslücken in Carsharing-Apps entdeckt

[datensicherheit.de, 09.02.2019] Experten aus dem Hause ESET haben nach eigenen Angaben die erste sogenannte Clipper-Malware im „Google Play Store“ entdeckt. Dieser Schädling ist demnach für Besitzer der Kryptowährungen Bitcoin und Ethereum besonders gefährlich, denn er könnte den Inhalt der Zwischenablage auf den genutzten „Android“-Geräten verändern und Transaktionen umleiten. Erstmals sei es Cyber-Kriminellen gelungen, den Zwischenspeicher auf „Android“-Smartphones und -Tablets zu manipulieren. Hierdurch sei es den „mobilen Bankräubern“ gelungen, Finanztransaktionen mit Kryptowährungen umzuleiten.

Bequemlichkeit der Benutzer von Kryptowährungen ausgenutzt

„,Clipper‘-Malware ist nicht mehr länger nur ein Problem von ,Windows‘-Anwendern oder dubiosen ,Android‘-Foren. Jetzt betrifft das Problem auch den durchschnittlichen ,Android‘-Anwender“, sagt ESET-Malware-Forscher Lukáš Štefanko.
Der von ESET als „Android/Clipper.C“ erkannte, neue Schädling nutze die Bequemlichkeit der Benutzer von Kryptowährungen aus. Diese gäben für Währungstransfers selten manuell die komplexen „Wallet“-Adressen ein, sondern kopierten diese häufig. Dadurch würden sie kurzzeitig in der Zwischenablage des Betriebssystems abgelegt – die Malware könne dort die Adresse einfach austauschen.

„Clipper“-Malware erstmals 2017 auf „Windows“-Betriebssystemen aufgetaucht

„Clipper“-Malware sei das erste Mal 2017 auf „Windows“-Betriebssystemen aufgetaucht. ESET-Forscher hätten bereits 2018 nachweisen können, dass es drei solcher Schädlinge bis zu „download.cnet.com“ geschafft hätten – einer der beliebtesten Download-Plattformen weltweit.
Im August 2018 sei der erste „Android Clipper“ überhaupt in Untergrundforen entdeckt worden. Seitdem sei diese Art Malware in mehreren zweifelhaften App-Stores aufgetaucht.

Nach Meldung durch ESET „Clipper“ aus „Google Play Store“ entfernt

„Android“-Nutzer, die ihre Downloads ausschließlich aus dem „Google Play Store“ beziehen, schienen bis 2019 davor sicher zu sein. Dies ändere sich nun, nachdem ESET-Forscher die Schadsoftware in Googles offiziellem Store hätten nachweisen können.
„Zum Glück haben wir den ,Clipper‘ bereits kurz nach seinem Upload in den Store entdeckt. Wir haben den Sachverhalt dem ,Google Play Security‘-Team gemeldet, welches kurz daraufhin die App entfernte“, berichtet Lukáš Štefanko.

Malware ahmt legitimen Dienst „MetaMask“ nach

Die jetzt entdeckte Malware ahme einen legitimen Dienst namens „MetaMask“ nach. Dieser ermögliche es, dezentrale Ethereum-Anwendungen im Browser auszuführen. Dazu sei es nicht notwendig, einen vollen Ethereum-Knoten zu betreiben. Der Dienst werde dazu als Add-On für „Chrome“ und „Firefox“ angeboten. Eine mobile App existiere nicht.
„Es scheint eine rege Nachfrage nach einer mobilen Version von ,MetaMask‘ zu geben. Das nutzen Cyber-Kriminelle aus, indem sie ihren Schadcode entsprechend verkleiden“, warnt Štefanko.

Opfer selbst senden Angreifern unfreiwillig „Wallet“-Adresse zu

Die gefundene Malware habe es auf die Bitcoin- und Ethereum-Werte seiner Opfer abgesehen. Dazu blende sie lediglich ein gefälschtes Formular ein. In dieses solle der Anwender seine „Wallet“-Adresse eingeben und somit den Angreifern zugänglich machen.
„Mit einem installierten ,Clipper‘ könnte es gar nicht leichter sein, digitale Werte zu stehlen. Es sind die Opfer selbst, die diese den Angreifern unfreiwillig zuschicken“, erklärt Štefanko.

IT-Sicherheits-Grundregeln beachten!

Diese erste Entdeckung von „Clipper“-Malware im „Google Play Store“ verdeutliche einmal mehr die Notwendigkeit, dass „Android“-Nutzer sich mit den IT-Sicherheits-Grundregeln beschäftigen sollten. Um sich vor „Clipper“ und anderer Malware zu schützen, raten die ESET-Experten:

• „Android“ immer aktuell halten und eine vertrauenswürdige Schutz-App installieren.
• Apps nur aus dem „Google Play Store“ laden.
• …aber vorher sicherheitshalber die Webseite des App-Anbieters überprüfen, die in der Beschreibung der App verlinkt sein sollte – existiert keine Webseite, sollten Sie das Angebot meiden.
• Jeden Schritt bei der Übertragung von sensiblen Informationen und Werten überprüfen – beim Verwenden der Zwischenablage sollte gecheckt werden, ob die ausgefüllten Daten auch den gewollten entsprechen.

Weitere Informationen zum Thema:

welivesecurity BY eset, Lukas Stefanko, 08.02.2019
Erste Clipper-Malware bei Google Play entdeckt

datensicherheit.de, 13.10.2018
ESET: Hacker-Gruppen kooperierten bei Angriff auf Energieversorger