Vermutlich russische Hacker griffen im Juli schweizerische Bankkonten in einer breit angelegten Attacke an. Dazu fingen sie SMS-Kürzel ab und änderten Einstellungen hinsichtlich Domain-Namen.

Für den Angriff wurde eine ausgeklügelte Version einer Malware verwendet, die die Opfer auf gefälschte Phishing-Webseiten umleitete, wenn diese ihre Konten aufrufen wollten. Und das alles ohne jegliche Warnungen durch Virenprogramme oder ähnliches.

Die Malware manipulierte die DNS-Einstellungen der Betroffenen und installierte ein SSL-Zertifikat für die Phishing-Seiten. Danach entfernte es sich selbst vollständig, um jegliche Spuren zu verwischen.

Nutzer, die der E-Mail-Kampagne ins Netz gingen und die Malware daraufhin installierten, wurden zur Installation einer Android-App aufgefordert. Diese sollte deren Banktransfers vermeintlich schützen. Stattdessen diente die App dazu, Kürzel wie mTANs aus SMS abzufangen und zum Command-and-Control-Server der Angreifer weiterzuleiten.

Der Ingenieur Daniel Stirnimann von SWITCH CH meint, der Banking-Trojaner namens „Retefe“ sei erstaunlich einfach.

„Nach der Infizierung löscht sich das Installationsprogramm selbst von dem betroffenen System, was eine Entdeckung durch Anti-Viren-Programme erheblich erschwert“,

so Stirnimann.

„Die Malware kommt mit einer schwer zu überwindenden Eleganz: Durch das Entfernen der heruntergeladenen Softwarekomponenten minimiert sie die Komplexität. Es scheint nun einen wirtschaftlichen Vorteil für Hacker zu geben, die Rechner der Opfer über Spam-Kampagnen zu infizieren.“

Stirnimann zufolge sollten selten genutzte mobile Anti-Viren-Programme die Anwendung entdecken.

Durch die abgefangenen Kürzel und mTANs hatten die Hacker uneingeschränkte Kontrolle über die Konten der Opfer. In diese loggten sie sich dann von lokalen Computern aus ein, um Anti-Betrugs-Mechanismen zu entgehen.

Auch Sicherheitsforscher von Trend Micro untersuchten die Malware, hinter der sie russische Cyberkriminelle vermuten. Diese sind seit 2011 aktiv und operieren unter den Namen -=FreeMan=- und Northwinds. Trend Micro taufte die Malware-Kampagne „Operation Emmental“.

Artikel von theregister.co.uk, 23.07.2014: Attackers raid SWISS BANKS with DNS and malware bombs
Artikel von scmagazine.com, 22.07.2014: Op Emmental spoofs bank sites, uses Android malware to maintain account access