Nach Flubot jetzt Bizarro: 7 Tipps, wie Sie sich vor Bankingtrojanern schützen!

Dass Cyberangriffe immer ausgefeilter und Cyberbedrohungen immer heftiger werden, ist kein Geheimnis. Mit unterschiedlichsten Methoden fordern Hacker die IT Security heraus. Ein besonders perfider Trend im Bereich Malware ist jetzt aus Brasilien zu uns herübergeschwappt. Mit dem Bankingtrojaner Bizarro ist ein Schädling unterwegs, der durch raffiniertes Social Engineering Zugangsdaten zum Online-Banking abgreift. Dabei ist Bizarro nicht der einzige Bankingtrojaner, dessen Verbreitung im ersten Halbjahr 2021 steil nach oben geht. Flankiert wird die Malware von Flubot – einer weiteren Schadsoftware, die Smartphones und Tablets ins Visier nimmt. Wir zeigen Ihnen, auf welchen Wegen die aktuellen Bankingtrojaner an Ihre Daten gelangen wollen und geben Ihnen 7 Tipps, wie Sie sich vor den Cyberbedrohungen schützen können.

Bankingtrojaner – Eine kleine Übersicht

Bereits 2015 wurde die globale IT Security auf die Malware Guildma aufmerksam. Dieser Bankingtrojaner setzte auf Phishing, um Zugriff auf Rechner und Netzwerke zu erhalten und dort Informationen zu Kredit- und Banking-Daten abzugreifen. Flankiert wurde Guildma ab spätestens 2017 durch Javali, eine mehrstufige Malware, die ebenfalls Phishing-Mails zu Verbreitung einsetzte. Neben diesen „Generalisten“ in Sachen Bankingtrojaner haben sich auch echte Spezialisten entwickelt. So zum Beispiel Grandoreiro, ein Trojaner, der seit 2016 aktiv ist. Grandoreiro setzt auf Spear-Phishing und kompromittierte Webseiten – und ist als MaaS (Malware-as-a-Service) als Dienst im Darknet erhältlich. Und dann wäre da noch Amavaldo, der mittels Overlay-Techniken Banking-Daten abgreift. Amavaldos Spezialität ist dabei die Fokussierung auf Lateinamerika. Die bisher genannten Cyberbedrohungen zielen auf Endanwender, die Windows-PCs im Einsatz haben. Doch Cyberangriffe mittels Bankingtrojanern machen natürlich auch vor Android-Mobilgeräten keinen Halt. Wer auf seinem Smartphone beispielsweise eine E-Mail angeklickt hat, die vorgeblich eine Information zu angeblichen Schulden enthält, der hat sich aller Wahrscheinlichkeit Ghimob eingefangen. Ghimob ist seit 2021 bekannt, kann Daten abgreifen, Bildschirminhalte manipulieren oder bei Bedarf auch vollständigen Fernzugriff auf das Endgerät erhalten. Auch BRata, ein weiterer Android-Schädling, zielt auf das Abgreifen von Banking-Zugangsdaten ab. Allerdings mit einer Besonderheit: BRata ist darauf ausgelegt, Krypto-Wallets zu plündern.

„Ihr Paket wird in Kürze zugestellt“ – nur anders, als Sie es sich vorstellen

2021 macht ein Bankingtrojaner namens Flubot auf sich aufmerksam, der auf ein Verfahren namens „Smishing“ setzt. Smishing ist ein Kofferwort aus SMS und Phishing – und beschreibt das Vorgehen dieser Malware. Dem Empfänger wird per SMS der Versand eines Paketes mitgeteilt – im Namen großer Online-Shops oder Paketdienstleister. Die SMS enthält einen Link, der zu einer Android App führt. Die App gibt vor, eine Lieferankündigungs-App zu sein, wie man sie beispielsweise von DHL kennt. Auch die Tarnung als Browser oder App eines Online-Versandhändlers ist bei FLubot möglich. Einmal auf dem Smartphone oder Tablet eingenistet, kann Flubot eine ganze Menge Schaden anrichten. Neben dem Abgreifen von Kreditkartendaten macht sich der Schädling auch über Kontaktdaten her, die dann für neue Smishing Cyberangriffe genutzt werden. Flubot kann Anwendungen löschen, Google Play Protect über die Zugriffsfunktion von Android deaktivieren und eine Liste über die auf dem Gerät installierten Apps erstellen.

Aus Brasilien in die ganze Welt – Bizarro wird zum globalen Problem

Bizarro ist ein neuer Bankingtrojaner, dessen Ursprung die IT Security in Brasilien verortet. Auch diese Malware setzt auf Phishing als Eingangstor, im Unterschied zu Flubot richtet Bizarro seine Cyberangriffe auf Windows-PCs. Via Mail erhält das ausgewählte Opfer zunächst einen Link mit der Aufforderung, ein Microsoft-Installer-Paket (MSI) herunterzuladen. Der Microsoft Installer ist eigentlich eine Laufzeitumgebung für Installationsroutinen. MSI kann Software installieren und automatisch konfigurieren – eine eigentlich komfortable und praktische Lösung. Eigentlich, denn Bizarro nutzt genau diese Komfortfunktion aus. Wird die Malware durch Klick auf den Link aktiviert – hierzu wird der User über ausgefeilte Social Engineering Methoden in der Mail aufgefordert - lädt sie ein ZIP-Archiv von einer im Vorfeld kompromittierten Wordpress Domain oder Azure- und AWS Servern herunter. Das ZIP-Archiv enthält neben einer schädlichen DLL-Datei und einem AutoHotkey-Script noch ein zusätzliches Script, welches eine Funktion der DLL aufruft. Diese Funktion enthält dann den Schadcode, der den Bankingtrojaner endgültig auf das System bringt. Dann geht die Malware-Party der Cyberangriffe allerdings erst richtig los.

Der Trojaner beendet zunächst alle aktiven Prozesse im Webbrowser, schließt also Firefox, Chrome, Edge und Co. Die ahnungslosen Opfer denken an eine Fehlfunktion, starten die Sitzung neu – und ermöglichen es dem Schädling, im Hintergrund die entsprechenden Anmeldedaten abzugreifen und umgehend an einen durch Cyberkriminelle kontrollierten Server weiterzuleiten. Wer denkt, mit einer Zwei-Faktor-Authentifizierung auf der sicheren Seite zu sein, der irrt! Denn die Malware unterstützt den Cyberangriff durch Pop-Ups, die wahlweise so aussehen können, als stammen sie von der eigenen Bank oder wie Warnungen, die den Download eines fehlenden Sicherheitspatches empfehlen. Selbst die Aufforderung, zusätzliche Apps auf das Smartphone runterzuladen, ist bei Bizarro zu erwarten. Und als das immer noch nicht hinterhältig genug wäre, kann der Bankingtrojaner auch noch Tastatureingaben aufzeichnen, Screenshots anfertigen oder über die Zwischenablage an Adressen von Kryptowallets gelangen.

„Der Trend könnte so einem Game-Changer bei der Verbreitung von Malware werden“

Fabio Assolini, Sicherheitsexperte bei Kaspersky, sieht in Bizarro und Konsorten einen „Trend, der zu einem Game-Changer bei der Verbreitung von Banking-Malware werden kann.“ Der Game-Changer, den der Sicherheitsexperte hier ausmacht, liegt in der Art, wie die Cyberkriminellen agieren. Während es bisher die Regel war, dass Angreifer ihre Opfer in ihrer Heimatregion angreifen, ist die neue Generation der Hacker global unterwegs. Brasilien, Argentinien, Deutschland oder Spanien – die aktuelle Generation Malware kümmert sich nicht mehr um Landesgrenzen.

So erkennen Sie Bankingtrojaner

Die Malware legt es darauf an, möglichst lange und möglichst unauffällig agieren zu können. Daher sind vor allem die User gefragt, auf verdächtige Veränderungen zu achten.

Hinweise, die auf ein durch Trojaner kompromittiertes System deuten könnten, sind unter anderem:

• Das Online-Banking reagiert anderes als gewohnt
• Die Verbindung zur Bank-Website bricht nach Eingabe einer TAN ab
• Während der Online-Sitzung fordern Pop-Ups zur Eingabe von Kennwörtern oder TANs auf
• Nach der Passwort- oder TAN-Eingabe erscheint eine Fehlermeldung, die eine erneute Eingabe der Daten fordert
• Das Online-Banking läuft nicht mehr über eine gesicherte Verbindung (erkennbar an http anstelle https bzw. einem geöffneten Schloss in der Eingabeleiste des Browsers)

Haben Sie den Verdacht, dass sich Malware auf Ihrem System breit gemacht hat, sollten Sie umgehend:

• Ihre persönliche Geheimzahl zu Ihrem Online-Konto ändern
• Umgehend alle Kontoumsätze genau prüfen
• Der Bank unbedingt den Verdacht mitteilen
• Den Trojaner nachhaltig vom System verbannen.

Achtung: Trojaner sind Meister im Verstecken. Sofern Sie nicht selbst versiert im Umgang mit entsprechender Software sind, kontaktieren Sie bitte einen Experten!

Mit diesen einfachen Verhaltensweisen lassen sich die meisten Cyberbedrohungen ausschalten, bevor sie Schaden anrichten. Auch Finanzinstitute müssen der neuen Form der Cyberbedrohung nicht tatenlos zusehen! Neueste Thread Intelligence im Security Operations Center (SOC) und leistungsstarke Anti-Fraud-Lösungen sind zuverlässige Maßnahmen, damit die IT Security den Angreifern immer einen Schritt voraus sein kann.