Neues Jahr, neue Angriffe

17.02.2022

Hagen Pollmüller, Hagen Pollmüller, DACH Regional Strategy Director bei OneSpan / Foto: © OneSpan

Bei mobiler Sicherheit immer einen Schritt voraus sein

In der digitalen Welt nutzen wir unsere mobilen Geräte häufiger als je zuvor – vor allem, wenn es darum geht, unsere Bankkonten von unterwegs zu verwalten. Obwohl die Deutschen beim Thema Online- und Mobile-Banking konservativer als ihre europäischen Nachbarn sind (50 % aller Deutschen nutzen Online-Banking verglichen mit 93 %  in Norwegen), steigen auch hierzulande die Nutzerzahlen für Online- und Mobile-Banking, insbesondere bei jüngeren Menschen. Im Jahr 2018 nutzten bereits 71 Prozent aller Deutschen zwischen 18-29 Jahren Online-Banking. Auch mobiles Banking scheint zunehmend beliebter zu werden. Daten von Statista zeigen, dass im Jahr 2015 nur 34 % der Deutschen mobiles Banking nutzten – im Jahr 2021 ist diese Zahl auf 64 % gestiegen.

Mit der verstärkten Nutzung nahmen auch die Betrugsfälle im Zusammenhang mit Mobile- und Online-Banking zu. Von Phishing-E-Mails, SMS bis hin zu Telefonanrufen und sogar offiziell aussehenden Briefen per Post werden Betrüger immer kreativer, um an persönliche Daten wie PINs, TANs oder Kontonummern zu gelangen. Es ist ein lukratives Geschäft für Cyberkriminelle und das wird sich auch im Jahr 2022 nicht ändern.

Vor kurzem haben Wissenschaftler weitere Beweise dafür gefunden, dass mobile Banking-Apps ein äußerst verlockendes Angriffsziel für Betrüger sind. Die Wissenschaftler fanden heraus, dass Betrüger ihre Methoden anpassen, um neue Wege zur Umgehung der Beschränkungen im Google Play Store zu finden. So blieben harmlos und sicher erscheinende sog. „Dropper“-Apps über Monate hinweg ungefährlich, bis sie nach und nach mit Schadsoftware aktualisiert werden konnten. Da diese Angriffe nur langsam ablaufen, können einfache Antiviren-Scans die Bedrohung nicht erkennen. Sobald die Aktualisierung abgeschlossen ist, nutzen Betrüger die Schadsoftware, um Apps ohne die Erlaubnis des Nutzers herunterzuladen und schließlich Android-Banking-Trojaner zu installieren.

Zu Beginn des neuen Jahres hat Google die Richtlinien für Apps im Play Store weiter aktualisiert und Finanzinstitute müssen damit rechnen, dass sich Betrugsversuche auf mobilen Endgeräten trotz Googles guter Absichten weiterentwickeln und unbemerkt durchgeführt werden. Banken und Finanzinstitute müssen die Initiative ergreifen und die Sicherheit der Apps zukunftssicher gestalten, damit die Kundenkonten trotz Schadsoftware sicher sind. Schauen wir uns also genau an, wie es zu diesen Angriffen gekommen ist, was sie bewirkt haben und wie Finanzinstitute vorgehen können, um ähnliche Angriffe auf ihre Kunden in Zukunft zu verhindern.

Was wir über Banking auf mobilen Endgeräten lernen können

Mobile Anwendungen werden durch Hunderte, wenn nicht gar Tausende von Codezeilen erstellt, sodass Google Play letztlich einen Großteil der Scans automatisiert, um Schadsoftware in Tausenden von Apps täglich zu erkennen. Inzwischen stellen wir fest, dass diejenigen Apps, die zur Infiltrierung von App-Stores verwendet werden, über eine gewisse Funktionalität verfügen. Sie erscheinen in Scans fälschlicherweise als sicher. Anschließend können Cyberkriminelle den Angriff starten.

Sobald die Schadsoftware heruntergeladen wurde, können die Angreifer die Benutzer leicht austricksen, indem sie sie auffordern, ein Update für die App von einer unbekannten oder fremden Quelle herunterzuladen, die in der Regel schwächere oder gar keine Sicherheitsprüfungen aufweist.

Das Update ermöglicht es Cyberkriminellen, die Zugangseinstellungen zu missbrauchen, die zur Barrierefreiheit der App beitragen sollen. Funktionen des Mobilgeräts können so für Betrugszwecke automatisiert genutzt werden. Einige dieser bösartigen Anwendungen ermöglichen es Betrügern, diese Einstellungen zu missbrauchen, um Overlay-Angriffe durchzuführen und Keylogger zu integrieren. Damit können sie Benutzernamen und Kennwörter ausspionieren oder Codezeilen ausführen, um persönliche Daten zu erfassen. Um dem einen Schritt voraus zu sein, müssen verschiedene Bereiche beim Thema Sicherheit für mobile Apps proaktiv behandelt werden.

Weiter auf Seite 2