Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
Ratgeber

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Ein Artikel von , veröffentlicht am 30.04.2016

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Darum geht es

Der Begriff Clickjacking kommt eigentlich aus der Welt der Desktop-Computer. Gemeint sind Schadprogramme, die ein unsichtbares oder getarntes Fenster über die aktuelle Bildschirmoberfläche legen. Dadurch klickt der Nutzer Dinge an und sendet möglicherweise sensible Daten an Dritte, ohne es zu merken.

Diesen Trick gibt es nun auch bei Android-Geräten. Dabei tarnen sich die Schadprogramme als legitime App, zum Beispiel als Spiel oder als Flash-Player, und werden so vom Nutzer installiert.

Einmal installiert, überprüft die App, welche anderen Apps auf dem Gerät installiert sind, und sendet diese Information an einen Server. Sind Apps installiert, die in das Angriffsspektrum der Schadsoftware gehören, sendet der Server die passend gestalteten Bildschirm-Fenster.

Greift das Schadprogramm zum Beispiel die Banking-App XY an, und diese App ist auf dem infizierten Gerät installiert, so sendet der Server ein Imitat des Startfensters dieser Banking-App.

Startet der Nutzer nun die Banking-App XY, registriert das Schadprogramm dies und legt sein eigenes Fenster über das Fenster der App. Da dieses Fenster genauso aussieht wie das Fenster der Banking-App XY, merkt der Nutzer nichts davon.

Gibt der Nutzer zum Beispiel die Login-Daten zu seiner Banking-App ein, werden diese vom Schadprogramm an seinen Heimat-Server gesendet. Damit sind Angriffe auf das Konto möglich.

Mindestens eine Familie von Schadprogrammen, die mit diesem Trick arbeiten, ist auch in der Lage, SMS abzufangen. Damit setzen diese Schadprogramme die Zwei-Faktor-Autorisierung beim mobilen Banking außer Kraft.

Mit überdeckten Bildschirmen werden nicht nur Banking-Apps angegriffen, sondern auch verschiedene andere Apps, wie WhatsApp, Gmail oder Facebook.

Wer? Wo? Wann?

Clickjacking-Apps sind schon lange bekannt. Anfang 2016 gab es aber einen rasanten Anstieg. Mitarbeiter von Kaspersky, ein Hersteller von Antivirenprogrammen, hatten Anfang 2016 eindringlich vor „Acecard“ gewarnt, einer Schadsoftware-Familie, die diesen Trick besonders effektiv einsetzt. Acecard (Ass-Karte) kann nicht nur über 30 Banking-Apps angreifen, sondern auch WhatsApp, Instagram, Skype, Paypal, Google Play, Gmail, Facebook, Twitter und einige mehr.

Zwischen Mai und September 2015 wurdenallein in Deutschland 1067 Angriffe von Acecard registriert. Gezählt werden dabei nur Nutzer, die das Sicherheitsprodukt von Kaspersky installiert haben. Die Acecard-App soll sich als Spiel oder ähnliches tarnen, und auch in den Google-Playstore gelangt sein.

Seit 2012 gibt es keinen offiziellen Adobe-Flash-Player mehr für Android. Wenn Nutzer auf ihrem Smartphone eine Meldung bekommen, dass der Adobe-Flash-Player für Funktionen benötigt wird, ist das ein sicherer Hinweis für zwielichtige Absichten.

Ab der Android-Version 5.1.0 ist es für Drittanbieter-Apps nicht mehr so einfach möglich, die Aktivitäten anderer Apps zu verfolgen. Dies erschwert den Angriff erheblich.

Das können Sie tun

Seien Sie umsichtig beim Installieren von Apps. Folgen Sie nur Links von vertrauenswürdigen Seiten auf Apps im Play-Store. So finden Sie besser eine Original-App und nicht ihren bösen Zwilling. Nutzen Sie wann immer möglich kontrollierte App-Stores, wie zum Beispiel F-Droid.

Es kann sehr schwierig sein, eine solche Infektion zu bemerken. Sie sollten aufmerksam werden, wenn Sie zweimal hintereinander nach den Logindaten gefragt werden oder wenn sich die App nach dem Login überraschend beendet.

Wie Schadpgroramme auf Ihr Smartphone kommen, erklären wir im Hintergrundtext Schadprogramme auf Mobilgeräten.

Zumindest eines der beschriebenen Schadprogramme verlangt Administrator-Rechte. Seien Sie grundsätzlich misstrauisch bei Apps, die solche Rechte fordern. Installieren Sie solche Apps nur in absoluten Ausnahmen. Beachten Sie die üblichen Sicherheitshinweise beim Installieren von Apps.

Nutzen Sie eine App, die gegen Schadprogramme schützt. Es gibt inzwischen kostenlose Angebote, die die Leistungsfähigkeit der Geräte kaum einschränken. Bekannte Bedrohungen können so schnell erkannt werden.

Wie Apps gegen Schadprogramme funktionieren, und wo sie an ihre Grenzen stoßen, erklären wir im Hintergrundtext: Sicherheitsapps für Android-Geräte.

Wenn Sie den Verdacht haben, dass Ihr Gerät infiziert ist, folgen Sie den Anweisungen in unserem Ratgeber: Was tun bei Infektionen?

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Hintergrund 

Fünf Irrtümer über Seltene Erden in Handys

Neodym, Praseodym und ihre Verwandten sorgen oft für Verwirrung. Fängt schon damit an, dass die Seltenen Erden nicht selten sind.

Mehr
Ratgeber 

Quiz zum Safer Internet Day 2018: Kinder und Smartphones

Wer Kinder hat, kommt um das Thema Smartphone in der Erziehung nicht herum. Wissen Sie, wo Gefahren lauern und wie Sie Ihr Kind davor schützen können? Mit unseren fünf Fragen zum Safer Internet Day 2018 können Sie Ihr Wissen testen.

Mehr
YouTube-Video 

Spotify privater machen – so geht’s

Es gibt Apps, die einfach alle lieben - egal ob datenschutzfreundlich oder nicht. Spotify trackt natürlich, was das Zeug hält, doch ein bisschen was können Sie abstellen. Im Video zeigen wir, wo und wie.

Ansehen
YouTube-Video 

Simple Search: Suchleiste für alle Suchmaschinen (Android)

Simple Search ist eine Suchleiste zum Anheften auf dem Startbildschirm des Smartphones. In der kleinen App lässt sich jede beliebige Suchmaschine hinterlegen. Damit können Sie auf die Apps anderer Suchdienste verzichten. So richten Sie Simple Search ein.

Ansehen