Ratgeber

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Ein Artikel von , veröffentlicht am 30.04.2016

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Darum geht es

Der Begriff Clickjacking kommt eigentlich aus der Welt der Desktop-Computer. Gemeint sind Schadprogramme, die ein unsichtbares oder getarntes Fenster über die aktuelle Bildschirmoberfläche legen. Dadurch klickt der Nutzer Dinge an und sendet möglicherweise sensible Daten an Dritte, ohne es zu merken.

Diesen Trick gibt es nun auch bei Android-Geräten. Dabei tarnen sich die Schadprogramme als legitime App, zum Beispiel als Spiel oder als Flash-Player, und werden so vom Nutzer installiert.

Einmal installiert, überprüft die App, welche anderen Apps auf dem Gerät installiert sind, und sendet diese Information an einen Server. Sind Apps installiert, die in das Angriffsspektrum der Schadsoftware gehören, sendet der Server die passend gestalteten Bildschirm-Fenster.

Greift das Schadprogramm zum Beispiel die Banking-App XY an, und diese App ist auf dem infizierten Gerät installiert, so sendet der Server ein Imitat des Startfensters dieser Banking-App.

Startet der Nutzer nun die Banking-App XY, registriert das Schadprogramm dies und legt sein eigenes Fenster über das Fenster der App. Da dieses Fenster genauso aussieht wie das Fenster der Banking-App XY, merkt der Nutzer nichts davon.

Gibt der Nutzer zum Beispiel die Login-Daten zu seiner Banking-App ein, werden diese vom Schadprogramm an seinen Heimat-Server gesendet. Damit sind Angriffe auf das Konto möglich.

Mindestens eine Familie von Schadprogrammen, die mit diesem Trick arbeiten, ist auch in der Lage, SMS abzufangen. Damit setzen diese Schadprogramme die Zwei-Faktor-Autorisierung beim mobilen Banking außer Kraft.

Mit überdeckten Bildschirmen werden nicht nur Banking-Apps angegriffen, sondern auch verschiedene andere Apps, wie WhatsApp, Gmail oder Facebook.

Wer? Wo? Wann?

Clickjacking-Apps sind schon lange bekannt. Anfang 2016 gab es aber einen rasanten Anstieg. Mitarbeiter von Kaspersky, ein Hersteller von Antivirenprogrammen, hatten Anfang 2016 eindringlich vor „Acecard“ gewarnt, einer Schadsoftware-Familie, die diesen Trick besonders effektiv einsetzt. Acecard (Ass-Karte) kann nicht nur über 30 Banking-Apps angreifen, sondern auch WhatsApp, Instagram, Skype, Paypal, Google Play, Gmail, Facebook, Twitter und einige mehr.

Zwischen Mai und September 2015 wurdenallein in Deutschland 1067 Angriffe von Acecard registriert. Gezählt werden dabei nur Nutzer, die das Sicherheitsprodukt von Kaspersky installiert haben. Die Acecard-App soll sich als Spiel oder ähnliches tarnen, und auch in den Google-Playstore gelangt sein.

Seit 2012 gibt es keinen offiziellen Adobe-Flash-Player mehr für Android. Wenn Nutzer auf ihrem Smartphone eine Meldung bekommen, dass der Adobe-Flash-Player für Funktionen benötigt wird, ist das ein sicherer Hinweis für zwielichtige Absichten.

Ab der Android-Version 5.1.0 ist es für Drittanbieter-Apps nicht mehr so einfach möglich, die Aktivitäten anderer Apps zu verfolgen. Dies erschwert den Angriff erheblich.

Das können Sie tun

Seien Sie umsichtig beim Installieren von Apps. Folgen Sie nur Links von vertrauenswürdigen Seiten auf Apps im Play-Store. So finden Sie besser eine Original-App und nicht ihren bösen Zwilling. Nutzen Sie wann immer möglich kontrollierte App-Stores, wie zum Beispiel F-Droid.

Es kann sehr schwierig sein, eine solche Infektion zu bemerken. Sie sollten aufmerksam werden, wenn Sie zweimal hintereinander nach den Logindaten gefragt werden oder wenn sich die App nach dem Login überraschend beendet.

Wie Schadpgroramme auf Ihr Smartphone kommen, erklären wir im Hintergrundtext Schadprogramme auf Mobilgeräten.

Zumindest eines der beschriebenen Schadprogramme verlangt Administrator-Rechte. Seien Sie grundsätzlich misstrauisch bei Apps, die solche Rechte fordern. Installieren Sie solche Apps nur in absoluten Ausnahmen. Beachten Sie die üblichen Sicherheitshinweise beim Installieren von Apps.

Nutzen Sie eine App, die gegen Schadprogramme schützt. Es gibt inzwischen kostenlose Angebote, die die Leistungsfähigkeit der Geräte kaum einschränken. Bekannte Bedrohungen können so schnell erkannt werden.

Wie Apps gegen Schadprogramme funktionieren, und wo sie an ihre Grenzen stoßen, erklären wir im Hintergrundtext: Sicherheitsapps für Android-Geräte.

Wenn Sie den Verdacht haben, dass Ihr Gerät infiziert ist, folgen Sie den Anweisungen in unserem Ratgeber: Was tun bei Infektionen?

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Kostenfallen 

Abofalle? Drittanbieter-Sperre einrichten

Vor Abofallen schützt am besten eine Drittanbieter-Sperre. Für sie gibt es inzwischen viele komfortable Optionen, von denen nur wenige Kunden wissen. Welche das sind, wer sie anbietet und was man beachten muss, erklären wir in unserer Anleitung.

Mehr
Ratgeber 

Android 10 (Q): Das ist neu bei Sicherheit und Datenschutz

Im September 2019 hat Google die zehnte Version des Betriebssystems Android veröffentlicht. Android 10 (Q) schützt den eigenen Standort und viele andere persönliche Daten deutlich besser vor dem Zugriff von Apps, bringt schnellere Sicherheitsupdates und neue Funktionen zur eigenen Nutzungskontrolle.

Mehr
YouTube-Video 

Roaming auf Schiffen und Flugzeugen: Vorsicht Kostenfalle

Eine Berliner Familie bekam im Sommer 2018 eine Handyrechnung über 12.000 Euro - der Sohn hatte auf einer Kreuzfahrt im Internet gesurft. Wer sein Smartphone auf dem Schiff und im Flugzeug ohne böse Überraschungen nutzen möchte, sollte einige Punkte beachten. Die wichtigsten Tipps geben wir im Video.

Ansehen
App-Test 

App-Test: Menstruations- & Zykluskalender Flo (Android)

Mit dieser App können Nutzerinnen Daten rund um ihren Zyklus und ihre Schwangerschaft protokollieren. Der App-Anbieter sammelt dabei Gesundheits- und Körperdaten, unter Umständen in Kombination mit Name und E-Mail-Adresse der Nutzerin. Die Information, welche Menüpunkte geöffnet werden, gehen auch an Facebook.

Mehr