Die Sicherheitsforscher von Finjan haben die Funktionsweise eines neuen, auf deutsche Onlinebanking-Angebote spezialisierten Trojaners veröffentlicht. Die "URLzone" getaufte Malware stiehlt nicht nur Log-in-Daten, sondern überweist auch Geld auf fremde Konten und zeigt dem Anwender einen falschen Kontostand an, um den Diebstahl möglichst lange zu verdunkeln.
Das Programm täuscht und umgeht Schutzprogramme von Banken durch einige Tricks, sagt Yuval Ben-Itzhak, Finjans Chief Technology Officer. Beispielsweise kann sie selbst in Abhängigkeit vom Kontostand berechnen, wie hoch der maximale Überweisungsbetrag ist.
Die von Finjan überprüfte Variante des Trojaners ist auf die Onlinebanking-Systeme einiger deutschen Kreditinstitute ausgerichtet. Innerhalb von 22 Tagen im August 2009 hat sie 300.000 Euro gestohlen. Finjan hat die Polizei informiert.
Die Software stellt Kontakt zu einem Server in der Ukraine her. Finjan konnte einen ungeschützten Command-and-Control-Server ermitteln und ausspionieren. Dort war eine Administrationskonsole namens LuckySploit installiert. Die Forscher bekamen so Zugriff auf sämtliche Daten und Statistiken der Kriminellen.
Dadurch fanden sie heraus, das rund 90.000 Rechner mit der Schadsoftware ausgestattete Sites besucht und 6400 von ihnen sich angesteckt hatten - eine Erfolgsquote von 7,5 Prozent. Von einigen hundert Konten buchten die Kriminellen dann tatsächlich Geld ab.
Abbuchungen gingen aber nicht direkt an das Konto der Verbrecher, sondern zunächst an Konten von Dritten, sogenannten "Money Mules" (Geldeseln), die einem legitimen Nebenjob nachzugehen glaubten. Sie überweisen die eingehenden Beträge an ein anderes Konto weiter, was die Rückverfolgung erschwert.
Ein heute veröffentlichter Cybercrime Report (Ausgabe 3/3009) von Finjan enthält weitere Informationen zur Funktionsweise dieses und anderer Onlinebanking-Trojaner.
