Sind Sie Facebook-Nutzer?

Falls ja, sollten Sie vorsichtig sein, wenn Ihnen eine Meldung wie die folgende begegnet:

Verification

Welcome back

Due to a rising number of attempts in order to gain unlawful access to the personal information of our users and to prevent corrupted page data to spread Facebook administration introduces new extra safety protection system. It's free and it keeps you safe. Our IT specialists developed unique software tool for safe and secure authorization. With this software you don't need any extra account profile or password all you need is to install it and everytime you log in you will input an access code generated by the software on your personal phone. We care for our users, protection of their private information is one of the priorities. Meanwhile application might not be available for some operating systems.

[Prompt for mobile phone number]

Facebook web injection
Hoffentlich macht Sie die schlechte Grammatik schon stutzig und hält Sie davon ab, Ihre Mobiltelefonnummer anzugeben.

Falls nicht, besteht das Risiko, dass böswillige Hacker schon bald die Anrufe, die Sie von Ihrem Android Smartphone aus oder auch nur in der Nähe Ihres Geräts tätigen, abhören und Ihre SMS-Nachrichten abfangen.

Und wenn die Hacker Ihre SMS-Nachrichten lesen können, besteht auch die Möglichkeit, dass sie in Ihr Online-Bankkonto eindringen.

ESET-Bedrohungs-Forscher Jean-Ian Boutin hat letzte Woche in einem Blog-Post auf WeLiveSecurity die neueste Verkörperung dieser Bedrohung detailliert dargestellt.

Und so funktioniert der Angriff:

Die Nachricht taucht auf, während Sie auf Facebook eingeloggt sind. Die Hacker nutzen einen berüchtigten Banking-Trojaner namens Win32/Qadars, um die gefälschte Nachricht von Facebook anzuzeigen und Ihr Android Smartphone zu infizieren.

Mithilfe der Windows-basierten Malware wird die Nachricht durch JavaScript in Ihren Webbrowser injiziert. Dabei sieht sie in jeder Hinsicht so aus, als käme sie von Facebook selbst.

Wenn Sie Ihre Mobiltelefonnummer in das Formular eingeben, werden Sie aufgefordert, eine App auf Ihr Android Smartphone herunterzuladen.

SMS verification

Regelmäßige WeLiveSecurity-Leser werden nicht überrascht sein, dass der App-Download nicht vom vertrauenswürdigen Google Play Store, sondern von einer Drittanbieter-Seite zur Verfügung gestellt wird. Das bedeutet, dass Sie eventuell die Einstellungen auf Ihrem Android ändern müssen, um die Installation zu erlauben:

Malicious Android app install

Das sollte eine weitere Gelegenheit für die Alarmglocken in Ihrem Kopf sein, sich bemerkbar zu machen. Sollte Facebook tatsächlich eine Sicherheitsfunktion anbieten, die die Installation einer neuen App auf Ihrem Android Telefon erfordert, würde es da nicht den regulären Android App Store nutzen?

Und warum sollte die App gottgleiche Administrationsrechte über Ihr Smartphone brauchen, mit denen sie sogar befugt wäre, alle Daten auf Ihrem Gerät zu löschen?

Nichtsdestotrotz hoffen die Hacker, dass Sie sich hinters Licht führen lassen und den Android-Trojaner namens iBanking (von den ESET-Sicherheitsprodukten als Android/Spy.Agent.AF identifiziert) auf Ihrem Smartphone installieren.

Einmal auf Ihrem Telefon kann er dann Ihre Aktivitäten ausspionieren und private Anrufe, SMS-Nachrichten, Kontaktlisten und Anrufprotokolle stehlen. Er kann sogar Audiospuren aufnehmen, die vom Mikrofon Ihres Androids aufgenommen werden – selbst wenn Sie gerade keinen Anruf tätigen – und die GPS-Koordinaten des Geräts abfangen.

Schon in der Vergangenheit wurde die iBanking-Malware genutzt, um Zwei-Faktor-Authentifizierungssysteme zu umgehen. Hierzu wurden die mTANs (mobile Transaktionsnummern) abgefangen, die per SMS von vielen Online-Banken, sowie beliebten Internetdiensten wie Google, Twitter und eben auch Facebook verschickt wurden.

Die Online-Kriminellen haben offensichtlich erkannt, dass mehr und mehr Menschen den Wert einer Zwei-Faktor-Authentifizierung erkennen und haben ihre Malware dementsprechend weiterentwickelt.

Obwohl die Malware auf vielen verschiedenen Webseiten genutzt werden kann, um Zwei-Faktor-Authentifizierungs-Token zu stehlen, sind Online-Bankkonten nach wie vor das beliebteste Ziel derartiger Angriffe.

Schließlich liegt hier das große Geld.

Weiterführende Links: