Derzeit erhalten viele Internetnutzer E-Mails von ihrer Bank, insbesondere von der Postbank, in denen sie aufgefordert werden, eine SSL-Zertifikat-App auf ihrem Smartphone zu installieren. Diese sei aus Sicherheitsgründen notwendig, um auch künftig abgesichert am mobilen TAN-Verfahren für das Online Banking teilnehmen zu können.

Gefährlich ist dies für Smartphones mit dem Google-Betriebssystem Android. Folgt man mit seinem Android-Gerät den Anweisungen aus der Mail und installiert die vermeintliche Sicherheits-App, handelt man sich einen Trojaner ein, der Online-Banking-Daten mitliest, u.a. mobile TANs abfängt und die PIN für das Online-Konto abfragt. Damit haben Hacker ungehinderten Zugriff auf das Konto ihres Opfers.

Wie heise security berichtet sind die Bank-E-Mails täuschend echt und können von Postbank-Kunden leicht für bare Münze genommen werden. Umso mehr als sie mit der vermeintlichen Zertifikate-App an das Sicherheitsbedürfnis der User appellieren, da SSL-Zertifikate eigentlich für die Verschlüsselung und besondere Absicherung des Datenaustauschs im Internet eingesetzt werden.

Besonders perfide: der Nutzer wird durch eine ausführliche Installationsanleitung geführt, die u.a. erklärt, wie man sein Handy für den Download von Apps aus unbekannten Quellen frei schaltet. Die dabei auftretende Sicherheitswarnung sei harmlos und könne ignoriert werden.

Spätestens an dieser Stelle ist höchstes Misstrauen angezeigt. Generell ist dringend empfohlen, diese Option in den Handy-Einstellungen auszuschalten und grundsätzlich keine Apps aus ungesicherten Quellen zuzulassen. Dies schützt nicht nur gegen diese App, sondern verringert generell die Gefährdungen durch sonstige Schadsoftware.

Seit längerem ist zu beobachten, dass mobile Betriebssysteme wie Android zunehmend Ziel von Angriffen werden. Bei unaufgefordert eingehenden Mails sollte man immer gesunde Skepsis walten lassen, erst recht, wenn es dabei um Online Banking und sensible Bankdaten geht. Eine kurze Nachfrage bei der Bank kann im Zweifel großen Schaden verhindern.

Weitere Informationen:
Angebliche Zertifikats-App bringt mTAN-Trojaner aufs Smartphone (heise.de)
Android-Trojaner tarnt sich als SSL-Zertifikats-App (gulli.com)
Trojaner tarnt sich als Postbank-App (t-online.de)