Warum Banken (nicht ganz) machtlos gegen Banking-Trojaner sind

Zahlreiche Banken in Deutschland und inter­natio­nal müssen sich aktuell erneut mit einem Banking-Trojaner namens BankBot herumschlagen (wir berichteten). Die Malware kommt im Schlepptau über Apps aus Googles Play Store auf die Geräte der Anwender. Die Leidtragenden sind dabei auch die Banken selbst, schuld an der Misere trägt allerdings eine andere Partei.

Die Malware hat es auf die Zugangsdaten der Mobile-Banking-Kunden abgesehen und manipuliert hierfür die Bedienerführung von gängigen Banking-Apps. In Deutschland handelt es sich aktuell um die Android-Apps der Geldinstitute Citibank, comdirekt, Commerzbank, DKB und Postbank. In der Schweiz sind Kunden der Raiffeisen-Bank, in Österreich Kunden der BWAG und der Sparda-Bank betroffen. Insgesamt werden aktuell weltweit schätzungsweise 160 Bankinstitute über deren Apps attackiert.

BankBot-Betrug wirft auch schlechtes Licht auf Google

Doch BankBot taucht in einer Vielzahl scheinbar harmloser Apps (von Taschenlampen über Casual Games wie Solitaire bis Akkustandsanzeiger oder Stoppuhren) auf. Besonders beliebt sind hierbei Apps zum Umrechnen von Währungen und zur Anzeige von Preisen von Krypto-Währungen wie Bitcoin oder Ethereum. Hier ist die Wahrscheinlichkeit groß, dass der Kunde nicht nur über entsprechende finanzielle Mittel verfügt, sondern auch mobile-banking-affin genug ist, eine entsprechende Banking-App einzusetzen.

Und das zeigt, dass es sich um ein Problem handelt, das nur die Banken gemeinsam angehen können – indem sie mit den Betreibern der Marktplätze, namentlich also mit Google, Apple und Amazon reden. Der Fall wirft nämlich vor allem ein schlechtes Licht auf Google – denn es ist mittlerweile immerhin der dritte Fall, dass BankBot den Weg in den Google Play Store findet. Apple und Amazon (Stichwort: Kindle Fire) tun sich hier mit einem geschlossenen App-System und einer langwierigeren Freigabeprozedur für die Hersteller von Apps zwar deutlich leichter, sind aber vor solchen Dingen auch nicht gänzlich gefeit.

Banken übernehmen aus vielerlei Gründen oftmals entstandene Schäden

So bleiben aktuell vor allem die Banken die Leidtragenden der Situation:  Denn die Banken sind es, die aktuell vor allem den Imageschaden tragen müssen und die oftmals entstandene Schäden an Kundenkonten übernehmen – sei es aus Kulanz gegenüber langjährigen guten Kunden oder aus Imagegründen, um nicht mit unsicheren Konten in Verbindung gebracht zu werden. Oft handeln sie aber auch aus der Befürchtung heraus, dass sonst viele misstrauische Kunden das Vertrauen ins Online- und Mobile-Banking verlieren könnten oder einen anderen Anbieter wählen.

Kunden mit Hilfe der Banken sensibilisieren

Für Kreditinstitute ist es im Rahmen der Fraud Protection nicht einfach, entsprechende Vorkehrungen zu treffen. Wenn es sich um betrügerische Abbuchungen handelt, die wie hier im Rahmen der Kommunikation des Kunden mit der Bank getätigt werden, finden diese nicht einmal wie frühere Betrugsfälle zu für europäische Kunden ungewöhnlichen Uhrzeiten statt. Auch die IP-Adresse des Kunden kann hier nicht wirklich hilfreich sein, da die Aktionen ja über das Mobilgerät des betrogenen Endkunden erfolgen.

Gefordert sind aber auch die Anwender selbst, die sich eine solche App aufs Smartphone laden und ohne eine aktuelle Sicherheits-Software ihre Banking-App nutzen. Sie laufen Gefahr, um ihre Daten gebracht zu werden und im schlimmsten Fall bestohlen zu werden. Dabei bedient sich der Trojaner einer einfachen und altbekannten Technik: Per Overlay blendet er eine gefälschte Anmeldeseite ein, die vom Log-in der Bank eines Opfers kaum oder gar nicht zu unterscheiden ist.

Selbst IT-erfahrene Kunden denken sich allenfalls, die Bedienerführung habe sich geringfügig geändert, schöpfen aber oft keinen Verdacht. Übrigens ist selbst die Zwei-Faktor-Authentifizierung hierbei kein Hindernis, da die Schad-Software gleichzeitig den SMS-Eingang überwacht und entsprechende Informationen an die Hintermänner weiterleitet.

Hier können Kreditinstitute ansetzen: durch Aufklärung, kurze Erklärfilme, die auf die Gefahren hinweisen oder durch die Vermittlung einer IT-Security-Software, die (ähnlich wie die Banking-App oder früher entsprechende Programme fürs PC-Banking) dem Kunden kostenlos zur Verfügung gestellt werden.”

Kooperationen mit den einschlägigen Anbietern von Security-Produkten sind hier durchaus möglich und ratsam – quasi wie eine Art Versicherung: Kann der Kunde nachweisen, dass er die üblichen Vorkehrungen getroffen hat und das von der Bank empfohlene Programm installiert hatte, übernimmt die Bank entsprechende Schäden, die in einem solchen Zusammenhang entstehen.

Kunden dagegen können zumindest in einer Hinsicht gesundes Misstrauen an den Tag legen und damit möglicherweise Vermögensschäden verhindern: Eine App, die beispielsweise eine Taschenlampe bedient, benötigt keine weiteren Rechte. Misstrauisch sollte man also sein bei Apps, die für ihre Anwendung ungewöhnliche Rechte am Gerät einfordern (dies wird bereits beim Herunterladen der App sowie beim ersten jeweiligen Einsatz angezeigt).

Welchen Schaden solche Apps anrichten können, zeigt ein aktueller Fall einer mit Malware durchsetzten Messenger-App: Diese (einzelne App) wurde innerhalb kürzester Zeit rund eine Million Mal heruntergeladen. Selbst wenn nur ein Bruchteil der Nutzer als Opfer in Frage kommt, entsteht hier ein immenser Schaden. tw