| Experten 5. Mai 2013


5. Mai 2013

ZertSecurity

By Lookout

Wir haben uns in letzter Zeit intensiv mit einer neuen Android-Malware beschäftigt, die im Rahmen einer Phishing-Kampagne an deutsche Android-Nutzer gesendet wurde und auf Postbank-Kunden abzielte.
ZertSecurity ist ein Banking-Trojaner, der sich als Zertifikats-App ausgibt und den Nutzer auffordert, seine Kontonummer und den dazugehörigen PIN-Code einzugeben.
ZertSecurity wurde im Google Play Store entdeckt und von Google entfernt. In den ca. 30 Tagen, an denen der Trojaner im Store zugänglich war, wurden weniger als 100 Downloads verzeichnet.
Alle Lookout-Nutzer sind vor dieser Bedrohung geschützt.
Lookouts Meinung
Im Gegensatz zu den meisten anderen Banking-Trojanern ist ZertSecurity selbstständig und hat keine zugehörige Desktopkomponente, die normalerweise Bestandteil von anderen Banking-Bedrohungen wie Zitmo/Citmo sind. In diesem Fall sind die Angreifer in der Lage, alle benötigen Daten mit einem einfachen Formular abzugreifen.
Für den Web-Zugang der Postbank sind die Kontonummer und der dazugehörige PIN-Code erforderlich. Wenn diese Zugangsdaten per Phishing abgegriffen und alle auf dem Gerät des Nutzers eingehenden SMS kontrolliert werden, sind die Initiatoren dieses Angriffs in der Lage:
  • Auf das Online-Banking zuzugreifen,
  • Transaktionen einzusehen bzw. auszuführen,
  • Alle per SMS gesendeten 2-Faktoren-Bestätigungen abzufangen.
Mit anderen Worten: Die Angreifer können Überweisungen erstellen und bestätigen, indem sie die mTAN-SMS abfangen und verwenden.
So funktioniert ZertSecurity
Im Rahmen einer Phishing-Kampagne, die sich an deutsche Nutzer wendet, wurden Links zur Installations-Website von ZertSecurity versendet. Alle bisher entdeckten E-Mails gaben sich als E-Mails von der Postbank aus und enthielten sinngemäß folgende Nachrichten:
  1. Bei einer Kontenprüfung wurde festgestellt, dass Ihre Angaben nicht aktuell sind; Ihr Kontozugang wurde beschränkt. Um Ihr Konto zu aktualisieren und den vollen Zugang wiederherzustellen, klicken Sie auf den beigefügten Link.
  2. Ab einem bestimmen Datum ist die Nutzung des mobilen TAN-Service der Postbank nur dann weiterhin möglich, wenn das SSL-Zertifikat aus dieser Anwendung installiert wird. Klicken Sie auf den beigefügten Link, um das SSL-Zertifikat jetzt auf Ihrem Smartphone zu installieren.
Wenn von einem anderen Gerät als einem Android auf den Link geklickt wird, zeigt die Installations-Website an, dass das „Zertifikat erfolgreich installiert“ wurde. Danach geschieht nichts weiter.
Wird der Link von einem Android-Gerät aus angeklickt, kommt der Nutzer auf eine Website, die zur Installation der falschen Sicherheitszertifikats-App auffordert. Der Nutzer wird durch den Installationsprozess geführt:

zertsecurity1 

Die Seite liefert klare Anweisungen, wie die Einstellung „Vertrauenswürdige Quellen” deaktiviert wird und informiert den Nutzer, dass Sicherheitswarnungen vernachlässigt werden können, da die Anwendung sicher sei.

Wenn die Anwendung aktiviert ist, zeigt sie ein Web-Formular an, das die Kontonummer und den PIN-Code des Nutzers abfragt.
Sobald diese Bankdaten eingegeben sind, informiert die Anwendung den Nutzer über die erfolgreiche Installation des Zertifikats. An dieser Stelle gibt es für den Nutzer keine weitere Interaktionsmöglichkeit.  

Die Malware speichert in ihrer Konfigurationsdatei die Daten, die im Formular in die Kontonummer- und Textfelder eingegeben werden und sendet eine Kopie an den konfigurierten Command & Control-Server (C&C). Die an den Server übermittelten und in der Konfigurationsdatei gespeicherten Daten werden mit AES verschlüsselt und mit Base64 wieder entschlüsselt.
Während die Malware läuft, sendet sie auch die Inhalte aller eingehenden SMS an den C&C-Server und unterdrückt, dass die SMS dem Besitzer des Gerätes angezeigt werden. Dafür registriert die Malware einen SMS-Receiver mit sehr hoher Priorität (1000). Dadurch ist die Malware in der Lage, die SMS zu empfangen, bevor irgendeine andere Anwendung die Möglichkeit dazu hat.
Wer ist betroffen?
Die Wahrscheinlichkeit einer Infektion ist sehr gering.
Die Anwendung wird im Rahmen einer kleinen Phishing-Kampagne verbreitet, die auf Nutzer in Deutschland abzielt. Es wurden weniger als 100 Downloads der App verzeichnet, bevor sie von Google entfernt wurde. Infizierte Geräte wurden nur in Deutschland ausgemacht.
Command & Control-Server:
ZertSecurity benutzt zwei Command & Control-Server, die in der verschlüsselten Konfigurationsdatei genannt werden. Alle C&C-Server sind jetzt abgeschaltet.
Entdeckt von:
[1] ZertSecurity wurde erstmalig von Heise Security entdeckt.    

Autor

Lookout