Mobiler Banking-Trojaner ‚Riltok‘ breitet sich weltweit aus
Archivmeldung vom 25.06.2019
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 25.06.2019 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittAnalysen der Kaspersky-Forscher zufolge breitet sich der mobile Banking-Trojaner ‚Riltok‘, der es auf das Geld seiner Opfer abgesehen hat, nun international aus [1]. Die mobile Malware wurde erstmals Mitte des Jahres 2018 entdeckt und hatte russische Nutzer im Visier. Nun scheinen die Hintermänner ihren Aktionsradius ausgeweitet zu haben und attackieren User weltweit – derzeit in Frankreich, Italien und Großbritannien. Die Kaspersky-Experten gehen davon aus, dass ,Riltok‘ – weil zuvor erfolgreich – weitere Gebiete erobern könnte, wie beispielsweise Deutschland.
Banking-Trojaner zielen darauf ab, Zugriff auf die Finanzkonten und
Vermögenswerte der Opfer zu erhalten, indem sie in erster Linie
Anmeldeinformationen stehlen und Online-Banking-Sitzungen kapern.
Trojaner tarnen sich häufig als legitime Web-Dienste oder Apps, um den
Nutzer zur Installation und Eingabe seiner Anmeldeinformationen und
weiterer sensibler Daten zu verleiten.
Das Angriffsszenario des Riltok-Trojaners (der Name leitet sich ab von
„Real Talk“) beginnt gewöhnlich mit einer SMS-Nachricht mit einem Link
zu einer gefälschten Webseite, die einer beliebten Website für
kostenlose Kleinanzeigen ähnelt. Darauf wird der Nutzer aufgefordert,
die angeblich neue Version der mobilen App des Dienstes zu installieren,
bei der es sich jedoch um die Riltok-Malware handelt. Sobald der
Trojaner heruntergeladen wurde und die erforderlichen Berechtigungen vom
Opfer erhalten hat, ernennt sich Riltok selbst zur Standard-App zum
Empfangen und Anzeigen von SMS. So können die Angreifer alle SMS
einschließlich der Bestätigungscodes für Bankkartenvorgänge sehen und
SMS zur Weiterleitung an andere Nummern senden.
Zu den Hauptfunktionen von Riltok gehören:
- Diebstahl von Kreditkarteninformationen, indem ein gefälschter Google Play Store angezeigt wird und das Opfer aufgefordert wird, seine Zahlungskartendaten einzugeben. Darüber hinaus überprüft die Malware, dass die angegebenen Details echt sind – beispielsweise die Anzahl der für die Karte eingegebenen Ziffern;
- Diebstahl von Bankkontodaten, indem ein gefälschter Bildschirm der Banking-App angezeigt oder eine Phishing-Seite im Browser geöffnet wird;
- Ausblenden von Aktivitäten und Einstellungen anderer Apps wie Sicherheitslösungen oder Einstellungen für die Gerätesicherheit;
- Ausblenden von Benachrichtigungen legitimer Banking-Apps.
„Wir haben beobachtet, wie sich Riltok langsam, aber stetig in Russland
verbreitet hat“, erklärt Tatyana Shishkova, Sicherheitsforscherin bei
Kaspersky. „Wir erwarten einen Anstieg der Angriffe, da Cyberkriminelle,
sobald sie eine Malware in Russland erfolgreich testen, ihre Aktivitäten
auf weitere Länder und Kontinente ausdehnen – in diesem Fall beginnend
mit Europa. Ein solches Vorgehen haben wir schon oft beobachtet.
Normalerweise werden solche Bedrohungen dann weltweit verbreitet.“
Kaspersky-Empfehlungen, um sich vor Riltok zu schützen
- Niemals auf verdächtige Links in SMS klicken;
- Die Installation von Programmen aus unbekannten Quellen blockieren und nur Apps aus offiziellen App Stores installieren;
- Auf die Berechtigungen achten, die von einer App angefordert werden. Wenn die Berechtigung nicht für die Funktion der App geeignet ist, jedoch aktiviert werden muss, sollte die App nicht verwenden werden.
- Eine mobile Sicherheitslösung wie Kaspersky Internet Security for Android verwenden, um sich vor schädlicher Software und deren Aktionen zu schützen. Kaspersky-Produkte erkennen die Bedrohung als Trojan-Banker.AndroidOS.Riltok.
Weitere Informationen zum Riltok-Trojaner:
-
https://securelist.com/mobile-banker-riltok/91374/
- Kaspersky-Analyse zu Riltok:
https://securelist.com/mobile-banker-riltok/91374/
- Kaspersky Internet Security for Android:
https://www.kaspersky.de/android-security
Quelle: Kaspersky