Eurograbber: Handytrojaner stiehlt 36 Mio €

Aka-Aka

Chaostheoretiker
http://www.stern.de/digital/telefon...trojaner-klaut-36-millionen-euro-1938132.html


Wie die meisten digitalen Angriffe beginnt auch dieser auf dem PC des Opfers: Zunächst muss der Computer des Nutzers mit einer Schadsoftware namens "Zeus" infiziert werden, das gelingt den Kriminellen entweder mit einem verseuchten Link, den sie via E-Mail verschicken, oder mit einer zuvor manipulierten Webseite. Per Drive-by-Download installiert sich von dort die Schadsoftware automatisch und vom Nutzer unbemerkt auf dem Computer.
Will der Nutzer nun eine Überweisung tätigen, erhält er beim sogenannten mTan-Verfahren eine mobile Transaktionsnummer per SMS zugeschickt. Nur mit dieser Nummer ist es möglich, im Browser Geld zu überweisen. Allerdings fängt "Zitmo" diese nur einmal gültigen Codes ab und nutzt sie, um Geld vom Bankkonto des Opfers abzuheben und auf das Konto des Angreifers zu überweisen. Somit wird nicht direkt das System des Onlinebankings angegriffen, für die Bank sind die Daten in Ordnung und die Angriffe nicht zu verhindern. Je nach Transaktion werden zwischen 500 und 250.000 Euro abgehoben.

Details:
http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
allerdings sind die dort angegebenen Details geschwärzt.


“Once a bank customer is infected, they are owned,” was the stark assessment of Check Point’s director of Intrusion Prevention Products, Darrell Burkey.
“The transaction appears to be completely normal to the bank.”
Disturbingly, the appalling scale of the attack only became apparent once security specialist and partner Versafe was called in and joined up some dots.
Each one [a bank] looked at it in isolation,” said Burkey.
[...]
No software vulnerabilities were needed to initiate the malware on either the PC or mobile; Eurograbber succeeded thanks to old-fashioned engineering of the user to click on links and to go along with the installation of the malware on their mobile.
“As seen with Eurograbber, attackers are focusing on the weakest link, the people behind the devices, and using very sophisticated techniques to launch and automate their attacks and avoid traceability,” concluded Versafe’s head of Security Operation Center, Eran Kalige.

36 Mio - das ist der bekannte Schaden! Das Geld wurde dabei über Finanzmulis geschleust. Der Muli, der eine 250.000-Euro-Überweisung gekriegt hat, dürfte das große Los gezogen haben...

Konkrete Warnungen vor Zitmos gab es bereits im August
http://www.viruslist.com/de/weblog?weblogid=207319899
http://www.areamobile.de/news/22133...r-zitmo-angriffswelle-auf-android-smartphones
http://blog.fortinet.com/zitmo-hits-android/

und hier:
http://forum.computerbetrug.de/thre...re-android-banking-trojans.40902/#post-358008

Interessant auch die Erwähnung von Fake-AV im Zusammenhang mit Zitmo (Juni 2012)
http://www.mytechteam.net/fake-antivirus-android-app-linked-to-zeus-banking-malware/

the server address where Android Security Suite Premium uploads the SMS, matches the command and control domains hosted by Zeus.
 
Der Link funktioniert leider nicht mehr, ich würd das aber gern nachrecherchieren.
Weiss jemand wo es die Unterlaggen noch gibt ?
 
vermutlich der hier
Page Not Found
Contact Sales
1-866-488-6691

Sorry, the page you requested was not found.
Please check the URL for proper spelling and capitalization. If you’re having trouble locating a destination on checkpoint.com, try entering a query in “Search”
 
hier isses.
This is the materials for CS7053 so that Michael and I (and maybe some students) can edit things. But use it if you want, just include some form of ack.
"I", das ist Stephen Farrell (denke ich), bei dem ich mich an dieser Stelle mit meinem größten Respekt und einer tiefen Verneigung vor seiner Arbeit erkenntlich zeigen möchte.
https://www.tcd.ie/research/profiles/?profile=sfarrel6
https://www.cs.tcd.ie/Stephen.Farrell/

https://github.com/sftcd/cs7053/tree/master/materials

wer sich sehr intensiv mit Computersicherheit usw. beschäftigt: da gibt es noch jede Menge höchst spannender Sachen! Stuxnetdossiers, oder seine Vorölesung "Snowdonia". Ich danke für die Nachfrage, die mir dieses Schatzkästchen zeigte!
höchst empfehlenswert.
Thank you, Stephen!

sollte der Anfrager an diesem Thema journalistisch oder wissenschaftlich interessiert sein, empfehle ich auch, sich an Brian zu wenden:
https://krebsonsecurity.com/2016/11/neer-do-well-news-and-cyber-justice/

Kontaklformular. Manchmal muß man mehrmals freundlich anklopfen.
 

Anhänge

  • Eurograbber_White_Paper.pdf
    1,5 MB · Aufrufe: 500
Zuletzt bearbeitet:
Zurück
Oben