Banking-Trojaner zielen darauf ab, Zugriff auf die Finanzkonten und Vermögenswerte der Opfer zu erhalten, indem sie in erster Linie Anmeldeinformationen stehlen und Online-Banking-Sitzungen kapern. Trojaner tarnen sich häufig als legitime Web-Dienste oder Apps, um den Nutzer zur Installation und Eingabe seiner Anmeldeinformationen und weiterer sensibler Daten zu verleiten.

Das Angriffsszenario des Riltok-Trojaners (der Name leitet sich ab von „Real Talk“) beginnt gewöhnlich mit einer SMS-Nachricht mit einem Link zu einer gefälschten Webseite, die einer beliebten Website für kostenlose Kleinanzeigen ähnelt. Darauf wird der Nutzer aufgefordert, die angeblich neue Version der mobilen App des Dienstes zu installieren, bei der es sich jedoch um die Riltok-Malware handelt. Sobald der Trojaner heruntergeladen wurde und die erforderlichen Berechtigungen vom Opfer erhalten hat, ernennt sich Riltok selbst zur Standard-App zum Empfangen und Anzeigen von SMS. So können die Angreifer alle SMS einschließlich der Bestätigungscodes für Bankkartenvorgänge sehen und SMS zur Weiterleitung an andere Nummern senden.

Zu den Hauptfunktionen von Riltok gehören:

• Diebstahl von Kreditkarteninformationen, indem ein gefälschter Google Play Store angezeigt wird und das Opfer aufgefordert wird, seine Zahlungskartendaten einzugeben. Darüber hinaus überprüft die Malware, dass die angegebenen Details echt sind – beispielsweise die Anzahl der für die Karte eingegebenen Ziffern;
  
• Diebstahl von Bankkontodaten, indem ein gefälschter Bildschirm der Banking-App angezeigt oder eine Phishing-Seite im Browser geöffnet wird;
  
•  Ausblenden von Aktivitäten und Einstellungen anderer Apps wie Sicherheitslösungen oder Einstellungen für die Gerätesicherheit;
  
• Ausblenden von Benachrichtigungen legitimer Banking-Apps.
  

„Wir haben beobachtet, wie sich Riltok langsam, aber stetig in Russland verbreitet hat“, erklärt Tatyana Shishkova, Sicherheitsforscherin bei Kaspersky. „Wir erwarten einen Anstieg der Angriffe, da Cyberkriminelle, sobald sie eine Malware in Russland erfolgreich testen, ihre Aktivitäten auf weitere Länder und Kontinente ausdehnen – in diesem Fall beginnend mit Europa. Ein solches Vorgehen haben wir schon oft beobachtet. Normalerweise werden solche Bedrohungen dann weltweit verbreitet.“

Kaspersky-Empfehlungen, um sich vor Riltok zu schützen

• Niemals auf verdächtige Links in SMS klicken;
  
• Die Installation von Programmen aus unbekannten Quellen blockieren und nur Apps aus offiziellen App Stores installieren;
  
• Auf die Berechtigungen achten, die von einer App angefordert werden. Wenn die Berechtigung nicht für die Funktion der App geeignet ist, jedoch aktiviert werden muss, sollte die App nicht verwenden werden.
• Eine mobile Sicherheitslösung wie Kaspersky Internet Security for Android verwenden, um sich vor schädlicher Software und deren Aktionen zu schützen. Kaspersky-Produkte erkennen die Bedrohung als Trojan-Banker.AndroidOS.Riltok.
  

Weitere Informationen zum Riltok-Trojaner:

• https://securelist.com/mobile-banker-riltok/91374/
  
• Kaspersky-Analyse zu Riltok: https://securelist.com/mobile-banker-riltok/91374/
  
• Kaspersky Internet Security for Android: https://www.kaspersky.de/android-security
  

Quelle: Kaspersky