Neue Varianten des Banking-Trojaners ZeuS nehmen jetzt das SMS-TAN-Verfahren (beziehungsweise mobile TAN, mTAN) ins Visier, berichtet  der Sicherheitsdienstleister S21sec in seinem Blog. Beim SMS-TAN-Verfahren werden Transaktionsnummern (TANs) für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann etwa eine Online-Überweisung legitimiert. Dieser zweite Übertragungskanal soll übliche Phishing- und Trojanerangriffe ins Leere laufen lassen. Das Verfahren lässt sich nämlich nur dann aushebeln, wenn der Anwender die in der SMS angegebenen Daten nicht sorgfältig prüft, sein Handy gestohlen wird oder das Gerät mit einem Trojaner infiziert ist, der die SMS an den Phisher weiterleitet.

Den letzten Weg haben nun die Entwickler von ZeuS implementiert, wobei sie mehrstufig vorgehen, um den Trojaner auf ein Gerät zu bekommen. Wichtigster Schritt bleibt weiterhin die Infektion eines Windows-PCs. Anschließend wird dem Opfer beim Aufruf einer Bankenseite eine nachgemachte Seite im Browser untergeschoben, die vorgibt, eine Sicherheitsaktualisierung für das Handy sei notwendig.

Dazu soll das Opfer seine Handynummer eingeben, um per SMS den Link zum Download zugesendet zu bekommen. Prompt verschickt der Trojaner über den infizierten PC eine SMS mit einem Link zu einem vermeintlich neuen Sicherheitszertifikat. Das soll der Anwender mit seinem Mobiltelefon herunterladen und installieren – eine Internetverbindung des Handys vorausgesetzt.

Die vollständige News finden Sie >hier< !