X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

ZitMo Trojaner tarnt sich als Android Security Suite Premium

Anton S.
21

Der Anbieter einiger bekannter Sicherheitslösungen für Windows - und mittlerweile auch Android - Kaspersky, warnt in seiner neuesten Meldung vor einem Trojaner, der sich als Android Security Suite Premium App tarnte. Wie der Trojaner funktioniert und was man gegen ihn tun kann, erfahrt ihr im Blog.

android security suite premium malware
Bild: secureliste.com

 

 

 Der Trojaner namens Zeus, in der mobilen Version auch ZitMo genannt, tarnte sich als Android Security Suite Premium. Wo ZitMo entdeckt wurde, darüber gibt Kaspersky keine Informationen. Seit Google seinen Google Bouncer genannten Security Dienst gestartet hat, der Apps scannt und auffälliges Verhalten in Entwickler-Accounts erkennt, ist die Anzahl an bösartigen Apps stark gesunken. Somit wäre auch das Auftauchen einer solchen App wie der Android Security Suite Premium eher unwahrscheinlich, jedoch nicht gänzlich ausschließbar.

Wie der Trojaner funktioniert

ZitMo stiehlt eingehende SMS und lädt sie auf einen Remote Server. Die Gefahr, persönliche Informationen an Unbekannte zu verlieren, ist dabei schon schlimm genug. Apps, die SMS nutzen, um Passwörter zurückzusetzen oder sich selbst zu aktivieren, könnten mit ZitMo leicht kompromittiert werden. Auch das sonst als sicher geltende MobileTAN verfahren, das viele Banken einsetzen, würde den entscheidenden Vorteil verlieren, da die generierte TAN direkt auf dem Server der Betrüger landen würde.

Es ist auch wichtig zu wissen, dass diese bösartigen Apps in der Lage sind sich selbst zu deinstallieren, Systeminformationen abzugreifen und sich selbst und andere bösartige Apps zu aktiveren und deaktivieren.

Wie wird man ZitMo wieder los?

Wie tief sich ZitMo in das System eingräbt, ist nicht bekannt. Zwar können bekannte Security Anwendungen und AntiVirus Apps bereits Abhilfe schaffen, wer jedoch ganz auf Nummer sicher gehen will, dem empfehle ich ein komplettes Zurücksetzen auf Werkseinstellungen seines Android Geräts.

Die beste Vorbeugung gegen Trojaner

Der beste Tipp, der hier gegeben werden kann, ist der gesunde Menschenverstand. Applikationen, die übermäßig viele Rechte verlangen, ohne, dass sie diese bräuchten, sollten bereits im Vorfeld misstrauisch beäugt werden. Auch bei Apps mit wenigen oder gar keinen Bewertungen und Kommentaren, sollten die Alarmglocken bereits schrill läuten. Die Installation von Apps über unbekannte Third-Party Markets oder illegalen Quellen stellt auch ein hohe Sicherheitsrisiko dar und sollte in jedem Fall umgangen werden.

Natürlich können auch Security Apps und AntiVirus Programme schützen, sie bieten jedoch nie eine 100%-ige Sicherheit.

 

Kommentare

Neuen Kommentar schreiben:
  • Eric T. 19.06.2012 Link

    Da fehlt der Link zur App ;D

    0
    0
  • Angeleyes 1980 19.06.2012 Link

    Also das mit der mobilenTAN find ich schon ein wenig Panikmache. Wenn die abgegriffen wird, können Betrüger nix mit anfangen, weil sie auf die jeweilige Zahlung mit Prüfziffern geschlüsselt ist. Von daher nutzlos für Dritte.....
    Und wer das mTAN Verfahren richtig einsetzt, wird eh die Medien trennen. Sprich Überweisung am PC und TAN am Handy. Also haben sie wenn, dann eine nutzlose TAN, aber keinerlei Zugangsdaten zum Konto....

    0
    0
  • Florian 19.06.2012 Link

    Kommen die SMS dann nicht an oder werden die kopiert?
    Kopieren wäre beim mtan verfahren egal da die nach einmaliger Benutzung ungültig ist und man die tan ja gleich nutzt beim online banking.
    Wenn die SMS erst gar nicht ankommt würde ich mir natuich auch sofort Gedanken machen und zur Bank gehen. Nach einer bestimmten Zeit verfällt die Gültigkeit der tan sowieso.

    0
    0
  • vincent M. 19.06.2012 Link

    Interessanter Blog, nebenbei ;) .... weiter so ...

    0
    0
  • Markus L. 19.06.2012 Link

    Mein absolutes lieblings-Spiel und meine must-have-app fürs neue Galaxy S3 ist
    Kamikaze Phone
    https://play.google.com/store/apps/details?id=com.loadingplay.kamikaze

    Das ist sicher, weil es braucht nicht sonderlich viele Berechtigungen. ^^

    0
    0
  • Hiro010 19.06.2012 Link

    Ihr und eure Panikmache....
    Ich habe wirklich das Gefühl Ihr sinkt immer weiter auf Bild Niveau! Entweder es geht um Bier, Schnäppchen oder Panik mache

    0
    0
  • Julian M. 19.06.2012 Link

    @Hiro010 Es ist nunmal nichts los in der Nadroidwelt, ausser das LG keine Tabs mehr Produzieren möchte...

    0
    0
  • Patrick Rundsoweiter 19.06.2012 Link

    @Angeleyes
    Meines Wissens nach kannst du über Mobilgeräte (über App oder mobile Seite) gar keine Transaktionen durchführen, damit nicht beides über ein Gerät laufen kann.

    0
    0
  • Hiro010 19.06.2012 Link

    klar...nichts los in der Welt des androids? O.o
    selbst wenn das stimmen würde, müssen die doch kein Mist verbloggen!

    0
    0
  • User-Foto
    Ralph 19.06.2012 Link

    Dieser Blog ist keinesfalls Panikmache! Ich würde mir sogar noch viel mehr dieser Art wünschen.

    mTAN ist durch solche Apps massiv gefährdet und zu unterstellen, dass die User die eigentliche Transaktion am PC machen, ist an der Realität vorbei. Schließlich gibt es auch für Android Banking Apps.

    0
    0
  • Florian 20.06.2012 Link

    @ralph mit mtan kannst du kein mobil banking via app machen.

    0
    0
  • Christian Zörkler 20.06.2012 Link

    So ein Schwachfug!

    Es ist schon alleine lächerlich, das ganze "Trojaner" zu nennen!
    Schon mal Einsicht in den Quellcode genommen?

    Das ist lediglich eine stümperhaft programmierte App die beim installieren folgende Berechtigungen verlangt:

    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    <uses-permission android:name="android.permission.INTERNET" />
    <uses-permission android:name="android.permission.READ_PHONE_STATE" />

    Wer einer solchen App derartige Berechtigungen gewährt, ist selbst dran Schuld!

    In der App gibt es keinerlei Code der dafür sorgen könnte, das sich die App selbstständig weiter verbreiten könnte!

    Es gibt lediglich Code, der empfangene SMS per JSON an folgende Adresse sendet: http://softthrifty.com/security.jsp
    Allerdings gehen die Requests derzeit ins leere da der Server wohl offline ist.

    Die SMS werden ganz Android Like per SMSReceiver abgegriffen. Das ist ausschließlich dann möglich, wenn der User bei der Installation diese Berechtigung erteilt!

    Eine derartige App kann jeder der auch nur geringfügige Kenntnisse in Android Development besitzt in 5 Minuten programmieren!

    Weiterhin lässt sich die App nicht aus ICS installieren:
    <uses-sdk android:minSdkVersion="7" android:targetSdkVersion="8" android:maxSdkVersion="12" />

    Zur Frage "Wie wird man ZitMo wieder los?" gibt es nur folgendes zu sagen: App deinstallieren! Die App gräbt sich nirgends ins System ein!!!

    Weiterhin ist diese app NICHT selbstständig in der Lage, sich selbst zu deinstallieren oder Systeminformationen auszulesen!

    @Anton Steininger Wenn du schon solch einen Blogbeitrag verfasst, dann recherchier doch wenigstens genauer nach bevor du irgendwelche falschen Aussagen zitierst, egal woher sie angeblich stammen!

    Für alle anderen gilt: Hirn einschalten BEVOR man einer App irgendwelche Berechtigungen gewährt! Man braucht sich nicht darüber wundern, wenn man einer App die Berechtigung zum Empfangen von SMS gibt das diese App dann auch SMS empfängt!

    0
    0
  • Anton S. 20.06.2012 Link

    @Angeleyes 1980

    Zur Panikmache ist dieser Blog nicht gedacht. Der große Vorteil der mobileTan ist eben, dass zwei unterschiedliche Kanäle für eine Online-Überweisung genutzt werden. Die Überweisung an sich geht im besten Fall über den heimischen Computer raus, die mobileTAN als Legitimation für die Überweisung erhält man per SMS. Dieser Vorteil fällt mit ZitMo weg, da hier die SMS abgegriffen wird und der Inhalt an einen Server übermittelt wird. Klar kann man argumentieren, dass Überweisungen über die App oder den mobilen Browser nicht möglich sind, jedoch lässt sich auch hier ganz leicht der Client umstellen (je nach Browser versteht sich). Wäre der heimische Computer jedoch auch von selbigen Trojaner befallen, und beide wüssten von einander, würde ich das doch als gewisses Sicherheitsrisiko bezeichnen.

    @ Christian
    Wie ZitMo hier genau funktioniert, kann ich Dir nicht abschließend sagen. Der Blog von Denis (Kaspersky Research Lab Expert) kann Dir aber mehr Informationen liefern.

    http://www.securelist.com/en/blog/208193604/Android_Security_Suite_Premium_New_ZitMo

    0
    0
  • Christian Zörkler 20.06.2012 Link

    @Anton Steininger Ich weiß selbst wie ZitMo funktioniert, hab den Code selbst studiert! Allerdings fehlt diese Variante auf dem Blog von Denis!

    0
    0
  • Angeleyes 1980 20.06.2012 Link

    @Anton
    Natürlich können auch beide vom Trojaner betroffen sein. Das änder aber nichts daran, dass die mTan genau für diese eine Transaktion gültig ist und für keine andere Überweisung benutzt werden kann.

    0
    0
  • Izzy 20.06.2012 Link

    @Florian: Wirf mal einen Blick auf StarMoney -- das erlaubt auch die Verwendung von "smsTan". Wovon natürlich stark abzuraten ist (von der Kombination aus beidem auf einem Gerät -- nicht von beiden Dingen separat für sich genommen. Der Trend geht ohnehin zum Dritthandy, also kann man ja auf einem Gerät die App laufen haben, und mit einem anderen die smsTan empfangen).

    0
    0
  • Florian 21.06.2012 Link

    Tatsache, aber 4€ dafür das ich eh immer überweise wenn ich Zuhause bin? Dann mache ich lieber mein Rechner an. Dritt handy? Hab nicht mal ein zweites :-(

    0
    0
  • Christian Voigt 21.06.2012 Link

    @Christian Z.
    Was genau disqualifiziert diese app als Trojaner? Es verkauft sich als security app und macht ewas gänzlich anderes. Quasi die definition von Trojaner. Selbstreplikation und Verbreitung sind doch nur unwichtige extras: ein guter Trojaner baut doch darauf vom Nutzer selbst installiert zu werden.
    Ich denke auch das ein Hinweis auf Trojaner-apps auf einer android-app-Seite eine Daseinsberechtigung hat. Über den Stil kann man natürlich streiten.
    Und Bild Niveau wird erst dann erreicht wenn gelogen wird.

    0
    0
  • Izzy 21.06.2012 Link

    @Florian: Du hast mich falsch verstanden. Auch ich mache Homebanking nur zu Hause am PC (anders als das Mobilgerät, lässt man den nicht mal versehentlich irgendwo liegen). Meine Anmerkung bzgl. StarMoney bezog sich auf Deine obige Aussage: "mit mtan kannst du kein mobil banking via app machen." -- die halt so nicht korrekt ist, wie mein Beispiel belegt.

    0
    0
  • Florian 22.06.2012 Link

    Mit tatsächlich meinte ich das ich mir die app mal angesehen habe. Wusste nicht das es so eine app gibt;-)

    0
    0
  • Samoht Relbuerg 18.08.2012 Link

    Zum gesunden Menschenverstand: das sehe ich auch so, jedoch kann man dann unter android 4 keine Apps mehr installieren. Selbst ein sinnvoller wie schlicher DB Navigator, selbst Hamburg Rad verlangt für die Apps alle Rechte, demnächst wahrscheinlich auch Zugriff auf mein Bankkonto.
    Meine Empfehlung: Apps sabotieren, bis Google sich entschließt, solch zweifelhafte Programmierer auszuschließen.

    0
    0