Angriff auf Online-Banking via mTAN: Eset warnt vor unsicherer SMS-basierter 2FA

Forscher des IT-Security-Unternehmens Eset haben eine neue Technik gefunden, die Googles Richtlinien zur Nutzung von SMS- und Telefonie-Informationen umgeht. Dabei wurden Apps in Google Play analysiert, die mit neuartigen Techniken Zugriff auf die SMS-basierte 2-Faktor-Authentifizierung (2FA) erhalten. Diese Apps umgehen die von Google erst kürzlich aufgestellten Richtlinien für den Zugriff auf Telefonie- und SMS-Logs.

Über einen Umweg erhalten die Apps Zugriff auf diese Daten: So erschleichen sich die Programme die Berechtigung, Benachrichtigungen auf dem Gerätedisplay lesen zu dürfen. Eine eingehende SMS oder E-Mail mit einem Einmalpasswort ist so für die Angreifer einsehbar – und nutzbar. Es besteht die Möglichkeit, dass Cyber-Kriminelle diese Methode zukünftig auch für Angriffe auf das Online-Banking und andere Dienste, die auf eine SMS-basierte 2FA setzen, ausnutzen.

Das mTAN-Verfahren, bei dem Bankkunden für jeden Auftrag eine Nummer per SMS erhalten, kann hierüber angegriffen werden. Das System gilt bereits seit einer Weile nicht mehr als sicher, da der Versand von SMS-Nachrichten unverschlüsselt erfolgt – einige Banken haben hierauf bereits reagiert. Dennoch setzen jedoch noch immer einige Banken auf dieses Verfahren. Auch andere Dienste, die eine SMS für die 2FA nutzen, sind grundsätzlich mit dieser Technik angreifbar.

Die neuen Google-Regeln, dass Apps nicht mehr einfach so Zugriff auf die Telefonie- und SMS-Logs erhalten, war ein richtiger Schritt zum Schutz der SMS-basierten 2-Faktor-Authentifizierung. Nun sehen wir den ersten Fall, wie Cyber-Kriminelle diese Richtlinie zu umgehen versuchen, um weiterhin an diese Informationen zu gelangen. Für Angriffe gegen das mTAN-Verfahren beim Online-Banking und ähnliche Arten der 2FA ist diese neuartige Technik geeignet.“

Thomas Uhlemann, Eset Security

Cyber-Kriminelle versuchen, an mTAN zu kommen

Die Anwendungen geben sich – in diesem aktuellen Fall – als vermeintliche Apps der türkischen Kryptowährungs-Börse BtcTurk aus. Unter anderem heißen diese Programme „BTCTurk Pro Beta“, „BtcTURK Pro Beta“ und „BTCTURK PRO“. Die Betrüger versuchen hierüber, an die Login-Daten zu dem Marktplatz zu gelangen. Um auch an das Einmalkennwort für die 2-Faktor-Authentifizierung zu gelangen, erschleichen sich die schädlichen Apps die Berechtigung, um Benachrichtigungen auf dem Gerätedisplay lesen zu können. So versuchen die Kriminellen dann, an das benötigte Kennwort zu gelangen.

Die Angreifer haben es dabei gezielt auf Benachrichtigungen durch E-Mail- und SMS-Apps abgesehen. Die Methode hat allerdings auch ihre Grenzen: Kriminelle können nämlich lediglich den Text sehen, der in das Benachrichtigungsfeld passt – je nach Auflösung des Geräts und Textlänge reicht das also nicht aus. Generell sind aber die Texte bei der Zwei-Faktor-Authentifizierung per SMS kurz gehalten. Daher ist die Chance hoch, dass auch das Einmalpasswort sichtbar ist. Die Schad-Apps wurden im Juni 2019 bei Google Play hochgeladen und wurden kurz darauf nach der Benachrichtigung durch Eset wieder gelöscht.

Neue Richtlinien sollen sensible Daten vor Missbrauch schützen

Google wollte mit einer Änderung in den Richtlinien des Play Store die SMS- und Telefonie-Logs von Android-Nutzern vor Missbrauch schützen. Es dürfen nur noch solche Apps aus dem Play Store nach Zugriff auf diese Daten fragen, die als Standard-Apps für Telefonate oder SMS festgelegt wurden. Auch wenn Sie die vorinstallierten Anwendungen hierfür ersetzen. Apps, die aus auf den Diebstahl von Anmeldeinformationen abgesehen haben, verloren so die Möglichkeit, sich diese Berechtigung zu erschleichen und damit die SMS-basierte Zwei-Faktor-Authentifizierung für kriminelle Zwecke auszunutzen. Das setzt allerdings voraus, dass der Nutzer jeweils sämtliche Aktualisierungen in Android, die die Sicherheitsthemen betreffen, durchgeführt hat.

Die aktuellen Forschungsergebnisse haben die IT-Security-Experten von Eset auf WeLiveSecurity veröffentlicht.tw