Ralf

Director ASOC DACH & Eastern Europe, RSA

RSA warnt: Vorsicht vor Android-App mit gefälschtem RSA-SecurID-Branding!

RSA wurde auf eine neue Malware-Angriffskampagne aufmerksam gemacht, die Nutzer von Online-Banking-Apps ins Visier nimmt und betrügerische Überweisungen von den Konten der Nutzer zur Folge haben könnte. Die Angriffe bauen auf einer Android-basierten SMS-Hijacking-App auf, die mit einem RSA-SecurID-Branding versehen ist, um sie glaubwürdig erscheinen zu lassen. Das Ziel sind Besitzer von Android-Mobilgeräten; Apple-Geräte wurden bisher nicht attackiert.

Fraudster_2

Eine Attacke läuft folgendermaßen ab:

  1. Die Trojaner-Schadsoftware wird auf dem Gerät des Opfers installiert.
  2. Wenn sich das Opfer daraufhin mit einer Online-Banking-Anwendung verbindet, die ein Einmalkennwort für die Authentifizierung von Geldtransfers verwendet, empfiehlt der Trojaner den Download einer gefälschten RSA SecurID-App. Diese ist in Wahrheit eine Android-basierte Hijacking-SMS mit RSA SecurID-Branding.
  3. Der Trojaner fragt das Opfer nach der Telefonnummer seines Android-Gerätes und sendet eine SMS-Nachricht mit einem Link zum Download der gefälschten RSA SecurID-App – der Download erfolgt von einer anderen Seite als dem offiziellen Google Play Store.
  4. Nach Installation der gefälschten App veranlasst der Angreifer einen Geldtransfer vom Nutzer-Konto.
  5. Wenn die Online-Banking-App mit einer SMS-Nachricht mit dem Einmalkennwort an das betroffenen Mobilgerät antwortet, unterbindet die Schadsoftware die Übertragung und der Nutzer bekommt sie nicht zu sehen.
  6. Der Angreifer gibt das abgefangene Einmalkennwort ein, um die betrügerische Überweisung abzuschließen.

RSA bietet den Download von mobilen RSA-Apps ausschließlich von offiziellen Plattformen und App-Stores an, um die Sicherheit und Vertrauenswürdigkeit der Apps zu gewährleisten. Eine Android-App, die von einer anderen Internetseite als dem Google Play Store angeboten wird, ist mit sehr hoher Wahrscheinlichkeit nicht authentisch. Das RSA Anti Fraud Command Center (AFCC) verfolgt und schließt betrügerische Internetseiten für den Download von RSA-Mobile-Apps und arbeitet mit Hochdruck daran, die neue Angriffskampagne einzudämmen und zu bekämpfen.

Die oben beschriebene Angriffsmethode ist nicht neu und auch nicht auf RSA-Kunden beschränkt. Sie kann jedoch an mehreren Punkten mit einer adäquaten Sicherheitsstrategie abgewehrt werden. RSA-Kunden und deren Kunden können sich folgendermaßen schützen:

  • Mobile Apps von RSA ausnahmslos von offiziellen Plattformen und Internetseiten wie Google Play und dem Apple App Store herunterladen.
  • Das Verständnis für Social-Engineering-Attacken wie diese schärfen: In diesem Fall fragt die Schadsoftware zum Beispiel nach einer Mobiltelefon-Nummer – eine Information, die der Bank möglicherweise schon vorliegt.
  • Installation von leistungsfähigen Lösungen für das Entdecken und Bekämpfen von Schadsoftware wie RSA ECAT oder kommerziellen Lösungen für Geschäftsgeräte, um das Potenzial und den Schaden durch Trojaner-Angriffe zu reduzieren.
  • Regelmäßige Updates der Anti-Malware-Software durchführen, Firewalls aktivieren und sicherstellen, dass die Geräte nicht gerootet wurden.