Achtung: Neuer Trojaner im Umlauf

Ein Sicherheitsdienstleister meldet Aktivitäten eines weiteren Banking-Trojaners. Zum Umgehen des mobileTAN-Verfahrens stiehlt dieser Trojaner nicht nur die Zugangsdaten zum Online-Banking, sondern versucht auch für das Banking verwendete Smartphones zu übernehmen.

Originalmeldung der Fiducia IT AG

Banking-Trojaner pkybot stiehlt Zugangsdaten und infiziert Smartphones

Ein Sicherheitsdienstleister meldet Aktivitäten eines weiteren Banking-Trojaners. Zum Umgehen des mobileTAN-Verfahrens stiehlt dieser Trojaner nicht nur die Zugangsdaten zum Online-Banking, sondern versucht auch für das Banking verwendete Smartphones zu übernehmen.

Die Methode an sich ist nicht neu, erfreut sich aber inzwischen steigender Beliebtheit bei Betrügern. Sofern es gelingt, Zugangsdaten zum PC abzuphishen und das Smartphone unter Kontrolle zu bringen, können beliebig Überweisungen ausgeführt werden.

Der neuste uns bekannte Schädling wurde vor wenigen Tagen von einer deutschen Sicherheitsfirma entdeckt. Der PC-Schädling "pkybot" bzw. ein passender Downloader wird mittels Spammails verteilt. Ein uns bekanntes Attachment hat die Bezeichung "invoice02022015-ukbank.com", vermutlich gibt es aber auch weitere Varianten für den deutschen Markt.

Vom Webinject des Schadcodes liegt uns bisher nur ein Sample für die Deutsche Bank vor, der Angriff funktioniert aber auch bei Volks- und Raiffeisenbanken.

Warnmeldung

Der pkybot Schädling selbst installiert sich mit einem zufälligen Namen in einem zufälligen Ordner unter %appdata% (z.B. %appdata%\Cabframe\inetbrowse.exe) und wird über einen Eintrag in der Registry unter "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" ausgeführt.