Ratgeber

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Ein Artikel von , veröffentlicht am 30.04.2016

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Darum geht es

Der Begriff Clickjacking kommt eigentlich aus der Welt der Desktop-Computer. Gemeint sind Schadprogramme, die ein unsichtbares oder getarntes Fenster über die aktuelle Bildschirmoberfläche legen. Dadurch klickt der Nutzer Dinge an und sendet möglicherweise sensible Daten an Dritte, ohne es zu merken.

Diesen Trick gibt es nun auch bei Android-Geräten. Dabei tarnen sich die Schadprogramme als legitime App, zum Beispiel als Spiel oder als Flash-Player, und werden so vom Nutzer installiert.

Einmal installiert, überprüft die App, welche anderen Apps auf dem Gerät installiert sind, und sendet diese Information an einen Server. Sind Apps installiert, die in das Angriffsspektrum der Schadsoftware gehören, sendet der Server die passend gestalteten Bildschirm-Fenster.

Greift das Schadprogramm zum Beispiel die Banking-App XY an, und diese App ist auf dem infizierten Gerät installiert, so sendet der Server ein Imitat des Startfensters dieser Banking-App.

Startet der Nutzer nun die Banking-App XY, registriert das Schadprogramm dies und legt sein eigenes Fenster über das Fenster der App. Da dieses Fenster genauso aussieht wie das Fenster der Banking-App XY, merkt der Nutzer nichts davon.

Gibt der Nutzer zum Beispiel die Login-Daten zu seiner Banking-App ein, werden diese vom Schadprogramm an seinen Heimat-Server gesendet. Damit sind Angriffe auf das Konto möglich.

Mindestens eine Familie von Schadprogrammen, die mit diesem Trick arbeiten, ist auch in der Lage, SMS abzufangen. Damit setzen diese Schadprogramme die Zwei-Faktor-Autorisierung beim mobilen Banking außer Kraft.

Mit überdeckten Bildschirmen werden nicht nur Banking-Apps angegriffen, sondern auch verschiedene andere Apps, wie WhatsApp, Gmail oder Facebook.

Wer? Wo? Wann?

Clickjacking-Apps sind schon lange bekannt. Anfang 2016 gab es aber einen rasanten Anstieg. Mitarbeiter von Kaspersky, ein Hersteller von Antivirenprogrammen, hatten Anfang 2016 eindringlich vor „Acecard“ gewarnt, einer Schadsoftware-Familie, die diesen Trick besonders effektiv einsetzt. Acecard (Ass-Karte) kann nicht nur über 30 Banking-Apps angreifen, sondern auch WhatsApp, Instagram, Skype, Paypal, Google Play, Gmail, Facebook, Twitter und einige mehr.

Zwischen Mai und September 2015 wurdenallein in Deutschland 1067 Angriffe von Acecard registriert. Gezählt werden dabei nur Nutzer, die das Sicherheitsprodukt von Kaspersky installiert haben. Die Acecard-App soll sich als Spiel oder ähnliches tarnen, und auch in den Google-Playstore gelangt sein.

Seit 2012 gibt es keinen offiziellen Adobe-Flash-Player mehr für Android. Wenn Nutzer auf ihrem Smartphone eine Meldung bekommen, dass der Adobe-Flash-Player für Funktionen benötigt wird, ist das ein sicherer Hinweis für zwielichtige Absichten.

Ab der Android-Version 5.1.0 ist es für Drittanbieter-Apps nicht mehr so einfach möglich, die Aktivitäten anderer Apps zu verfolgen. Dies erschwert den Angriff erheblich.

Das können Sie tun

Seien Sie umsichtig beim Installieren von Apps. Folgen Sie nur Links von vertrauenswürdigen Seiten auf Apps im Play-Store. So finden Sie besser eine Original-App und nicht ihren bösen Zwilling. Nutzen Sie wann immer möglich kontrollierte App-Stores, wie zum Beispiel F-Droid.

Es kann sehr schwierig sein, eine solche Infektion zu bemerken. Sie sollten aufmerksam werden, wenn Sie zweimal hintereinander nach den Logindaten gefragt werden oder wenn sich die App nach dem Login überraschend beendet.

Wie Schadpgroramme auf Ihr Smartphone kommen, erklären wir im Hintergrundtext Schadprogramme auf Mobilgeräten.

Zumindest eines der beschriebenen Schadprogramme verlangt Administrator-Rechte. Seien Sie grundsätzlich misstrauisch bei Apps, die solche Rechte fordern. Installieren Sie solche Apps nur in absoluten Ausnahmen. Beachten Sie die üblichen Sicherheitshinweise beim Installieren von Apps.

Nutzen Sie eine App, die gegen Schadprogramme schützt. Es gibt inzwischen kostenlose Angebote, die die Leistungsfähigkeit der Geräte kaum einschränken. Bekannte Bedrohungen können so schnell erkannt werden.

Wie Apps gegen Schadprogramme funktionieren, und wo sie an ihre Grenzen stoßen, erklären wir im Hintergrundtext: Sicherheitsapps für Android-Geräte.

Wenn Sie den Verdacht haben, dass Ihr Gerät infiziert ist, folgen Sie den Anweisungen in unserem Ratgeber: Was tun bei Infektionen?

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Wie sicher sind Internetverbindungen von Apps?

Wer über Smartphone oder Tablet im Internet surft, möchte sich keine Gedanken darüber machen, ob der Tischnachbar im Café gerade die Suchanfragen mitliest. Das geht nur, wenn die Apps ihre Verbindungen ins Internet verschlüsseln.

Mehr
Ratgeber 

Auflösung

Natürlich ist unser Quiz nur als Spaß gemeint und nicht als ernsthafte Beurteilung. Trotzdem stecken hinter den einzelnen Fragen und Antworten ganz ernsthafte Sachverhalte. Welche, erfahren Sie hier.

Mehr
YouTube-Video 

Neue Technik soll Handydiebstahl sinnlos machen

Durch seine IMEI-Gerätenummer lässt sich ein Smartphone oder Tablet eindeutig identifizieren. Die Telekom möchte durch ein neues Sperrverfahren demnächst dafür sorgen, dass ein gestohlenes Smartphone komplett unbrauchbar wird. Im Video erklären wir, wie das gehen soll.

Ansehen
Ratgeber 

Android ohne Google – geht das?

Smartphones mit dem Betriebssystem "Android" sind eng mit Google verbunden. Wer diese Verbindung konsequent kappen will, muss entweder auf wichtige Funktionen verzichten, oder einen tiefen Eingriff vornehmen, den man Rooten nennt.

Mehr