Vorsicht beim Online-Banking!: Android-Trojaner greift TANs ab

Das BSI warnt Android-Nutzer vor einem gefährlichen Trojaner, der TANs abgreift, mit denen Kunden von Online-Banken Transaktionen bestätigen. Wie fängt man sich den Schädling ein und wie kann man sich wehren?

Das Statistische Bundesamt (Destatis) hat ermittelt, dass inzwischen 53 Prozent der Bundesbürger zwischen 16 und 74 Jahren Online-Banking nutzen. Die meisten von ihnen sichern ihre Überweisungen und Order vermutlich mit sogenannten mTANS oder sms-TANS ab. Dabei werden Transaktionen erst nach der Bestätigung durch einen Code freigegeben, den Nutzer per SMS auf ihrem Smartphone erhalten. Eigentlich ist dies ein recht sicheres Verfahren, denn auch wenn Kriminelle - beispielsweise über Phishing - die Zugangsdaten erbeuten, können sie ohne diese Codes keinen Schaden anrichten. Das Problem von mTANs ist aber, dass Hacker sie abfangen können, wenn sie Zugriff auf das Smartphone eines Kunden erhalten. Gewöhnlich versuchen sie dafür, Trojaner auf Handys zu schleusen. Vor genau so einem Schädling warnt aktuell das Bundesamt für Sicherheit in der Informationstechnologie (BSI).

Wie greifen die Hacker an?

"Marcher" befällt ausschließlich Android-Smartphones, greift mTANS ab und leitet sie an seine Auftraggeber weiter. Wie alle Handy-Trojaner kann sich der Schädling nicht selbst verbreiten, der Nutzer muss einen Fehler machen und ihm ungewollt die Tür öffnen. Dazu nutzen die Hacker beispielsweise den Umweg über einen infizierten Windows-PC, auf dem ein Kunde sich bei seiner Online-Bank anmeldet. Die Schad-Software zeigt dann beispielsweise ein Pop-Up-Fenster im Browser an, in dem der Kunde aufgefordert wird, eine zusätzliche Sicherheitsanwendung auf dem Smartphone zu installieren. Haben die Gangster die Mobilfunknummer eines Opfers, können sie ihm auch einen Link zu der Schad-Software schicken.

Wie schützt man sich?

Um sich zu schützen, sollten Nutzer niemals auf Pop-up-Fenster reagieren, die sie dazu auffordern, Software zu installieren oder sensible Daten "zur Bestätigung" einzugeben. Bei Links in SMS ist ebenfalls größtes Misstrauen geboten. Im Zweifel ruft man lieber bei der Bank an und fragt nach.

Sicherer als mTANs auf dem Smartphone zu empfangen, ist das sogenannte Chip-Verfahren. Dabei erhalten Kunden von ihrer Bank ein kleines Gerät, mit dem sie TANs selbst generieren, ohne dass die Codes irgendjemand abfangen könnte. Leider stellen die Institute TAN-Generatoren nicht kostenlos zur Verfügung. Manche Banken bieten alternativ die Bestätigung mit Photo-TANs an, bei dem mit dem Smartphone oder einem zusätzlichen Gerät eine Grafik gescannt wird, um einen Code zu generieren. Auch hier ist das (kostenpflichtige) Extra-Gerät die sicherere Option.

Was tun, wenn das Smartphone infiziert ist?

Wer sich erinnert, auf ein Pop-up oder eine SMS falsch reagiert zu haben, muss befürchten, dass "Marcher" schon zugeschlagen hat. Ansonsten fällt der Befall wahrscheinlich erst auf, wenn eine ungewöhnliche Konto-Aktivität festgestellt wurde. Nutzern, die sich Marcher bereits eingefangen haben, rät das BSI, vorerst keine mobilen Transaktionen mehr vorzunehmen. Um den Schädling loszuwerden, empfiehlt das Bundesamt, einen Virenscanner zu installieren oder (besser) das Gerät auf Werkseinstellungen zurückzusetzen. Weniger praktikabel für Otto-Normal-Nutzer ist der Tipp, im Zweifel das Betriebssystem neu zu installieren. Außerdem sollten Betroffene alle Passwörter ändern und die Bank informieren.

Quelle: n-tv.de