Zeus und Zitmo: Trojaner erbeuten 36 Millionen Euro

Kriminelle haben mit zwei zusammen arbeitenden Trojanern zahlreiche europäische Bankkonten – darunter auch viele deutsche – leergeräumt und auch das als sicher geltende mTAN Verfahren überlistet. Bei dem mTAN Verfahren wird die für eine Überweisung notwendige Transaktionsnummer „TAN“ nicht mehr aus einer TAN-Liste abgelesen, sondern an eine angegebene Mobilfunknummer gesendet.

Durch Links in Emails und auf manipulierten Webseiten wurden dafür zahlreiche PCs zunächst mit dem Trojaner „Zeus“ infiziert. Dieser installiert sich automatisch, in dem er Sicherheitslücken im Browser ausnutzt – es ist daher sehr wichtig, aktuelle und sichere Browser-Versionen zu verwenden. Einmal installiert, kann er unbemerkt im Hintergrund die Tastatur-Eingaben eines Benutzers abfangen und so zum Beispiel Web-Adressen, Nutzer-Namen und Passwörter ausspähen und speichern.

Meldet sich der Nutzer bei dem Online-Konto seiner Bank an, aktiviert sich der Trojaner und verlangt aus Sicherheitsgründen die Eingabe der Mobilfunknummer, um weitere Anweisungen angeblich sicher per SMS versenden zu können. In der SMS werden Smart-Phone-User dann aufgefordert, eine zusätzliche Software auf dem Handy zu installieren, um das Banking sicherer zu machen. Statt einer Schutz-Software installiert man aber die mobile Version des Zeus Trojaners: Zitmo („Zeus in the mobile“). Dieser soll auf Android und Blackberry Handys Zugriff auf das System haben und auch auf Kurznachrichten zugreifen können. Durch Apples App-Store hat der Trojaner es bisher aber anscheinend nicht geschafft, aktuell sollen nur Smartphones mit Googles Android Betriebssystem oder dem Blackberry-System von RIM betroffen sein.

Während der normale Zeus Trojaner auf dem PC die Browser-Aktivitäten überwacht und die Login-Passwörter zu den Bank-Webseiten abgreifen kann, wartet die mobile Version nun auf die SMS der Bank, die die für die Überweisung wichtige mTAN enthält. Im Hintergrund wird dann selbstständig eine Überweisung mit den gültigen Zugangsdaten auf die Konten der Kriminellen getätigt.

Je nach Kontenstand sollen dabei Beträge zwischen 500 und 250.000 EUR abgebucht worden sein, berichtet der Stern. Insgesamt sollen 30.000 Kunden bei mehr als 30 Banken betroffen sein, etwa 20% der Betroffenen seien Deutsche. Neben deutschen Kunden seien aber auch die Kunden von Bankhäusern aus Spanien, Italien und den Niederlanden betroffen, insgesamt haben die Angreifer 36 Millionen EUR erbeutet.