(PM) Schwerte, 14.08.2015 - Außerdem haben Untersuchungen von Bitdefender ergeben, dass die Anzahl der einzigartigen täglichen Malware-Reports fast 4,7 Millionen erreicht. Das zeigt nicht nur, dass die Chance infiziert zu werden täglich steigt, sondern auch, dass die Malware-Industrie derzeit sehr aktiv ist. Dabei hat sie auch einige neue Banking-Trojaner entwickelt, die auf das Sammeln von Bankdaten und persönlichen Informationen spezialisiert sind, die in Online Transaktionen benutzt werden. Diese Trojaner erreichen das System durch Drive-by-Attacken, die Sicherheitslücken in verbreiteten Softwarelösungen nutzen.

Die Geschichte von Tiny Banker

Ein typisches Beispiel für eine aktuelle Malware bildet Tinba, ein Wortspiel aus Tiny Banker (Winziger Bankangestellter). Die erste Instanz stammt aus dem Jahr 2012 und verbreitete sich in einigen europäischen Ländern. Seine ursprüngliche Funktionalität hatte das Ziel, Anmeldeinformationen für Social Media-Websiten oder E-Mail-Konten zu stehlen. Seitdem hat sich Tinba aber zu einem echten Banking-Trojaner entwickelt.

So ist der Virus heute in der Lage, Webseiten von bekannten Banken zu infizieren. Bitdefender-Untersuchungen von Tinba-Aktivitäten zeigen, dass eine aktuelle Kampagne dabei auf europäische Länder zielt, darunter auch Deutschland.

Wie funktioniert das?

Tinba dringt in die Webseiten von bekannten Banken ein und fragt bei Anwendern zusätzliche Informationen ab, von der Kreditkarten- und CVV-Nummer bis hin zum „Mädchennamen der Mutter”. Das Verzeichnis von Banken ist in der Regel in der Malware selbst hartcodiert, besonders bemerkenswert ist daher die geringe Größe des Trojaners von nur 20 Kilobyte.

Ein weiteres Merkmal von Tinba sind private Signaturschüssel. Diese stellen sicher, dass Bot-Befehle und -Updates nur vom authorisierten Botmaster kommen können. Darüber hinaus authentifizieren Bots den Update-Server, bevor dieser eine neue Konfiguration akzeptiert.

Eine maschinenabhängige Verschlüsselungsschicht wird für jeden Bot erzwungen, um die manipulierenden Bots vor Sicherheitsforschern zu schützen. Die Kommunikation läuft über fest programmierte Ressourcen-URLs. Diese können – falls notwendig – auch auf DGA-basierte (Domain Generation Algorithmus) URLs zurückgeschaltet werden.

Betroffene Banken in Deutschland

Auf der Liste der betroffenen Banken stehen – abhängig vom betroffenen Land – sehr bekannte Namen. In Deutschland gehören dazu die Deutsche Postbank AG, die Commerzbank, GE Capital Deutschland, Flessabank – Bankhaus MAX FLESSA KG, Bank1Saar, PSD Bank, Comdirect, Deutsche Bank, ING DiBa und die Berliner Bank. Diese sind in der Konfigurationsdatei von Tinba fest programmiert.

Darüber hinaus hat Bitdefender herausgefunden, dass einige reguläre Ausdrücke in der Konfigurationsdatei speziell für Login-URLs geschrieben wurden. Das deutet darauf hin, dass Angreifer Tinba nur dazu nutzen wollen, um durch das Sammeln von Benutzernamen und Passwörtern bestimmte Webseiten zu beobachten.

Von der weltweiten Anzahl an Anfragen der mehr als 35 Tinba-Versionen, die Bitfender kürzlich beobachtet hat, stammen mehr als 25.174 allein aus Deutschland. Interessant daran ist, dass die Kampagnen ganz gezielt deutsche Banken im Fokus haben. Die gemeldeten Anfragen könnten ein Hinweis auf die Anzahl der Nutzer sein, die mit einem dieser 35 Tinba-Variationen infiziert wurden.

Fazit

Banking-Malware ist zunehmend fokussierter und zielgerichteter – sowohl auf bestimmte Länder als auch auf bestimmte Banken – um ihre eigene Effizienz zu erhöhen. Berücksichtigt man den geringen Speicherplatz von Tinba, ist sicher davon auszugehen, dass Cyberkriminelle kontinuierlich weiter neue Methoden entwickeln, um ihren Code zu optimieren.

Damit Anwender nicht Opfer eines solchen Banken-Trojaners wie Tinba werden, empfiehlt Bitdefender, immer eine aktualisierte Sicherheitslösung einzusetzen. Diese sollte in der Lage sein, solche Bedrohungen zu stoppen, bevor irgendwelche finanziellen Schäden entstehen oder sensible persönliche Informationen entwendet werden.