Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Ein Artikel von Miriam Ruhenstroth, veröffentlicht am 30.04.2016

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Darum geht es

Der Begriff Clickjacking kommt eigentlich aus der Welt der Desktop-Computer. Gemeint sind Schadprogramme, die ein unsichtbares oder getarntes Fenster über die aktuelle Bildschirmoberfläche legen. Dadurch klickt der Nutzer Dinge an und sendet möglicherweise sensible Daten an Dritte, ohne es zu merken.

Diesen Trick gibt es nun auch bei Android-Geräten. Dabei tarnen sich die Schadprogramme als legitime App, zum Beispiel als Spiel oder als Flash-Player, und werden so vom Nutzer installiert.

Einmal installiert, überprüft die App, welche anderen Apps auf dem Gerät installiert sind, und sendet diese Information an einen Server. Sind Apps installiert, die in das Angriffsspektrum der Schadsoftware gehören, sendet der Server die passend gestalteten Bildschirm-Fenster.

Greift das Schadprogramm zum Beispiel die Banking-App XY an, und diese App ist auf dem infizierten Gerät installiert, so sendet der Server ein Imitat des Startfensters dieser Banking-App.

Startet der Nutzer nun die Banking-App XY, registriert das Schadprogramm dies und legt sein eigenes Fenster über das Fenster der App. Da dieses Fenster genauso aussieht wie das Fenster der Banking-App XY, merkt der Nutzer nichts davon.

Gibt der Nutzer zum Beispiel die Login-Daten zu seiner Banking-App ein, werden diese vom Schadprogramm an seinen Heimat-Server gesendet. Damit sind Angriffe auf das Konto möglich.

Mindestens eine Familie von Schadprogrammen, die mit diesem Trick arbeiten, ist auch in der Lage, SMS abzufangen. Damit setzen diese Schadprogramme die Zwei-Faktor-Autorisierung beim mobilen Banking außer Kraft.

Mit überdeckten Bildschirmen werden nicht nur Banking-Apps angegriffen, sondern auch verschiedene andere Apps, wie WhatsApp, Gmail oder Facebook.

Wer? Wo? Wann?

Clickjacking-Apps sind schon lange bekannt. Anfang 2016 gab es aber einen rasanten Anstieg. Mitarbeiter von Kaspersky, ein Hersteller von Antivirenprogrammen, hatten Anfang 2016 eindringlich vor „Acecard“ gewarnt, einer Schadsoftware-Familie, die diesen Trick besonders effektiv einsetzt. Acecard (Ass-Karte) kann nicht nur über 30 Banking-Apps angreifen, sondern auch WhatsApp, Instagram, Skype, Paypal, Google Play, Gmail, Facebook, Twitter und einige mehr.

Zwischen Mai und September 2015 wurdenallein in Deutschland 1067 Angriffe von Acecard registriert. Gezählt werden dabei nur Nutzer, die das Sicherheitsprodukt von Kaspersky installiert haben. Die Acecard-App soll sich als Spiel oder ähnliches tarnen, und auch in den Google-Playstore gelangt sein.

Seit 2012 gibt es keinen offiziellen Adobe-Flash-Player mehr für Android. Wenn Nutzer auf ihrem Smartphone eine Meldung bekommen, dass der Adobe-Flash-Player für Funktionen benötigt wird, ist das ein sicherer Hinweis für zwielichtige Absichten.

Ab der Android-Version 5.1.0 ist es für Drittanbieter-Apps nicht mehr so einfach möglich, die Aktivitäten anderer Apps zu verfolgen. Dies erschwert den Angriff erheblich.

Das können Sie tun

Seien Sie umsichtig beim Installieren von Apps. Folgen Sie nur Links von vertrauenswürdigen Seiten auf Apps im Play-Store. So finden Sie besser eine Original-App und nicht ihren bösen Zwilling. Nutzen Sie wann immer möglich kontrollierte App-Stores, wie zum Beispiel F-Droid.

Es kann sehr schwierig sein, eine solche Infektion zu bemerken. Sie sollten aufmerksam werden, wenn Sie zweimal hintereinander nach den Logindaten gefragt werden oder wenn sich die App nach dem Login überraschend beendet.

Wie Schadpgroramme auf Ihr Smartphone kommen, erklären wir im Hintergrundtext Schadprogramme auf Mobilgeräten.

Zumindest eines der beschriebenen Schadprogramme verlangt Administrator-Rechte. Seien Sie grundsätzlich misstrauisch bei Apps, die solche Rechte fordern. Installieren Sie solche Apps nur in absoluten Ausnahmen. Beachten Sie die üblichen Sicherheitshinweise beim Installieren von Apps.

Nutzen Sie eine App, die gegen Schadprogramme schützt. Es gibt inzwischen kostenlose Angebote, die die Leistungsfähigkeit der Geräte kaum einschränken. Bekannte Bedrohungen können so schnell erkannt werden.

Wie Apps gegen Schadprogramme funktionieren, und wo sie an ihre Grenzen stoßen, erklären wir im Hintergrundtext: Sicherheitsapps für Android-Geräte.

Wenn Sie den Verdacht haben, dass Ihr Gerät infiziert ist, folgen Sie den Anweisungen in unserem Ratgeber: Was tun bei Infektionen?

Weitere Artikel

Ratgeber 

Apps des Monats – die spannendsten im November

Der Videochat-Dienst Zoom hat bei der Verschlüsselung nachgebessert, der Firefox-Browser bei Transparenz und Datenschutzoptionen. Außerdem hielt der November Apps bereit, mit denen Sie YouTube, Facebook, Twitter & Co. ganz ohne die datenhungrigen Original-Apps nutzen können.

Mehr
Checkliste 

Checkliste: Handy weg – was tun? (Android)

Ihr Smartphone oder Tablet wurde gestohlen oder ist verloren gegangen? Mit unserer Checkliste können Sie jetzt den Schaden begrenzen. Verbundene Online-Konten lassen sich über den Computer sperren, eventuell können Sie Ihr Gerät auch orten.

Mehr
Hintergrund 

Ohne Updates: Wie man veraltete Handys besser schützt

Nach wenigen Jahren ist es mit den Updates für Handys oft vorbei. Das ist sehr ärgerlich. Wie konkret sind die Gefahren und wie minimiert ihr sie?

Mehr
Ratgeber 

Versteckte Google-Dienste im Smartphone: Wie du sie ersetzen kannst

Unsichtbare Systemfunktionen senden Daten an Google, ohne dass es nötig ist. Es geht auch anders, wie alternative OS zeigen.

Mehr