Abwehr von Overlay-Angriffen: Wie Trojaner und Drive-by-Download-Attacken Banking-Apps aushebeln
OneSpan
Overlay-Attacken werden vor allem für Finanzinstitute zunehmend gefährlicher. Das Angriffs-Szenario und wie Banken sich und ihre Kunden schützen können, beleuchtet Frederik Mennes, Senior Manager Market & Security Strategy OneSpan (ehem. Vasco) im Detail.
von Frederik Mennes, Onespan
Die permanente Weiterentwicklung der Mobiltechnologie und die zunehmende Bedeutung von Cyber-Security, also Schutz von mobilen Endgeräten und Applikationen, dominieren seit einiger Zeit die Medien. Zu den derzeit wohl gefährlichsten Angriffen, denen mobile User ausgesetzt sind, gehören Overlay-Attacken – sie kombinieren Social-Engineering mit den inhärenten Sicherheitsschwächen mobiler Anwendungen mit dem Ziel, den Nutzer zur Herausgabe sensibler Daten zu verleiten.War dieser Angriffsvektor ursprünglich auf Russland beschränkt, kommt er mittlerweile auch in Europa und den USA verstärkt zur Anwendung, beispielsweise in Gestalt der MazarBot Android-Malware. Aber wie genau funktionieren Overlay-Attacken und wie kann man sie abwehren? Und wie können sich Finanzinstitute und Unternehmen vor dieser Art von Angriffen schützen?
Das Angriffsszenario verstehen und die Auswirkungen für Mobile-Banking erkennen
In den meisten Fällen handelt es sich bei Overlay-Malware um einen Trojaner, der als angeblich legitime Anwendung von einer legitimen Website oder einem App-Store heruntergeladen werden kann. Infektionsgefahr besteht aber auch durch das Ansurfen speziell präparierter Webseiten: Die Malware wird heimlich durch einen Drive-by-Download auf dem mobilen Endgerät installiert.
Zunächst verhält sich der Schadstoff auf dem infizierten Gerät unauffällig. Er wird erst aktiv, wenn der Benutzer eine Bankapplikation öffnet. Sobald dies geschieht, drängt die Malware die legitime Anwendung in den Hintergrund, ein Vorgang, den die meisten Anwendungen in aller Regel nicht erkennen können und daher den Nutzer auch nicht warnen. Mit anderen Worten:
Die Banking-App registriert nicht, dass sie als Hintergrundtask ausgeführt wird, funktioniert aber weiterhin normal und akzeptiert Benutzereingaben, obwohl ein Mensch die App gar nicht mehr bedienen kann.”
Frederik Mennes ist Senior Manager Market & Security Strategy im Security Competence Center bei Onespan (Vasco). Als Speaker nimmt er an Unternehmenskonferenzen teil und unterstützt die Initiative for Open Authentication (OATH). Neben seiner Tätigkeit bei Onespan hat Frederik die Information Security Group (ISG) an der Royal Holloway, University of London in verschiedenen pädagogischen Funktionen unterstützt. Er erwarb einen MBA an der Vlerick Business School (Belgien), einen M.Sc. in Informationssicherheit an der Royal Holloway, University of London, und einen M.Sc. in Computer Science Engineering an der KU Leuven, Belgien.Zeitgleich erstellt die Malware ein Fenster mit dem Look and Feel der betroffenen Anwendung und lässt den Benutzer in dem Glauben, dass er immer noch mit seiner Mobile-Banking-Anwendung interagiert.
Das ahnungslose Opfer nutzt unterdessen die vermeintliche Banking-App und füttert sie mit vertraulichen Daten: Passwörter, Pin-Codes und finanzielle Details werden von der Malware abgegriffen und an die Cyber-Gangster übermittelt. Schlimmstenfalls werden sogar Transaktionsdaten verändert und Zahlungen auf Konten der Angreifer umgeleitet.
Ein Bot auf Reisen: BankBot
Ein aktuelles Beispiel für diese Art von Trojanern ist BankBot. Während ältere Versionen von BankBot hauptsächlich auf russische Finanzinstitute abzielten, stieß das niederländische Unternehmen Securify im April 2017 auf eine neue Variante der Malware und zeigte, dass BankBot auch europäische und amerikanische Banken im Visier hat.
Neuere Iterationen zielten auf mindestens 420 Banken in Ländern wie Deutschland, Frankreich, Österreich, den Niederlanden, der Türkei und den USA.”
BankBot, ursprünglich als Wetter-App getarnt, dann in verschiedenen Video-Apps versteckt, kann von Google Play heruntergeladen werden. Sein Ziel: Benutzernamen, Passwörter, PIN-Codes, Kartendetails sowie SMS-Nachrichten abgreifen. Insbesondere das Auslesen von SMS-Nachrichten ist kritisch: BankBot kann die von einer Bankapplikation gesendete Textnachricht zur Autorisierung einer Zahlung abfangen. Der Bankkunde merkt erst, dass etwas faul ist, wenn der Kontostand rapide sinkt oder Zahlungen auf Konten der Cyber-Kriminellen umgeleitet werden.
In der Pflicht: Entwickler oder App-Anbieter?
Wer ist denn nun für den Schutz vor mobilen Overlay-Angriffen verantwortlich? Der App-Entwickler oder der App-Provider? Im Idealfall sollten sie zusammenarbeiten, um sicherzustellen, dass Anwender nicht kompromittiert werden, wenn Cyber-Kriminelle eine bestimmte Schwachstelle in einer App ausnutzen.
Die Banking-Applikation sollte über ein Built-in Security-Feature verfügen, welches eigenständig erkennt, dass die App in den Hintergrund gedrängt wurde, den Anwender entsprechend warnt und so die Eingabe von sensiblen Daten verhindert. Allerdings wird Malware permanent weiterentwickelt, es besteht also immer die Gefahr, dass unbekannte Plattformschwächen ausgenutzt werden, umso wichtiger ist daher die Zusammenarbeit von Entwicklern und Anbietern.
Die Lösung gegen Overlay-Attacken: RASP & 2FA
Der beste Ansatz ist die ausgefeilte Runtime-Application-Self-Protection (RASP), welche mehrschichtige Sicherheit direkt in die mobilen Anwendungen integriert. Anstatt also nur eine einzige Sicherheitsebene zu durchbrechen, müssten Hacker mehrere Layer kompromittieren, was einen erfolgreichen Angriff ungleich schwieriger macht.
RASP verwendet zudem Verhaltensanalyse sowie spezifische Codes, um Overlay-Attacken wirkungsvoll zu verhindern. Um jedoch wirklich effektiv zu sein, sollte die gewählte RASP-Lösung nicht auf einen bestimmten Malware-Typ spezialisiert sein, sondern vor multiplen Malware-Familien wie BankBot, Svpeng oder Marcher schützen. Denn viele Malware-Familien verwenden zur Erstellung von Overlays ähnliche Techniken, so dass generische RASP-Lösungen mehr als ausreichend Schutz bieten.
In Kombination mit einer Zwei-Faktor-Authentifizierung (2FA) werden dann selbst erbeutete Login-Credentials für den Angreifer wertlos, weil eine zweite Information benötigt wird. Dies könnte alles Mögliche sein: Ein Einmal-Code (OTP), der Besitz eines physischen Geräts, biometrische Authentifizierung oder ähnliches.
Die Technologie zur Verhinderung von Overlay-Angriffen ist vorhanden.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/76593
Schreiben Sie einen Kommentar