Ratgeber

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Ein Artikel von , veröffentlicht am 30.04.2016

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Darum geht es

Der Begriff Clickjacking kommt eigentlich aus der Welt der Desktop-Computer. Gemeint sind Schadprogramme, die ein unsichtbares oder getarntes Fenster über die aktuelle Bildschirmoberfläche legen. Dadurch klickt der Nutzer Dinge an und sendet möglicherweise sensible Daten an Dritte, ohne es zu merken.

Diesen Trick gibt es nun auch bei Android-Geräten. Dabei tarnen sich die Schadprogramme als legitime App, zum Beispiel als Spiel oder als Flash-Player, und werden so vom Nutzer installiert.

Einmal installiert, überprüft die App, welche anderen Apps auf dem Gerät installiert sind, und sendet diese Information an einen Server. Sind Apps installiert, die in das Angriffsspektrum der Schadsoftware gehören, sendet der Server die passend gestalteten Bildschirm-Fenster.

Greift das Schadprogramm zum Beispiel die Banking-App XY an, und diese App ist auf dem infizierten Gerät installiert, so sendet der Server ein Imitat des Startfensters dieser Banking-App.

Startet der Nutzer nun die Banking-App XY, registriert das Schadprogramm dies und legt sein eigenes Fenster über das Fenster der App. Da dieses Fenster genauso aussieht wie das Fenster der Banking-App XY, merkt der Nutzer nichts davon.

Gibt der Nutzer zum Beispiel die Login-Daten zu seiner Banking-App ein, werden diese vom Schadprogramm an seinen Heimat-Server gesendet. Damit sind Angriffe auf das Konto möglich.

Mindestens eine Familie von Schadprogrammen, die mit diesem Trick arbeiten, ist auch in der Lage, SMS abzufangen. Damit setzen diese Schadprogramme die Zwei-Faktor-Autorisierung beim mobilen Banking außer Kraft.

Mit überdeckten Bildschirmen werden nicht nur Banking-Apps angegriffen, sondern auch verschiedene andere Apps, wie WhatsApp, Gmail oder Facebook.

Wer? Wo? Wann?

Clickjacking-Apps sind schon lange bekannt. Anfang 2016 gab es aber einen rasanten Anstieg. Mitarbeiter von Kaspersky, ein Hersteller von Antivirenprogrammen, hatten Anfang 2016 eindringlich vor „Acecard“ gewarnt, einer Schadsoftware-Familie, die diesen Trick besonders effektiv einsetzt. Acecard (Ass-Karte) kann nicht nur über 30 Banking-Apps angreifen, sondern auch WhatsApp, Instagram, Skype, Paypal, Google Play, Gmail, Facebook, Twitter und einige mehr.

Zwischen Mai und September 2015 wurdenallein in Deutschland 1067 Angriffe von Acecard registriert. Gezählt werden dabei nur Nutzer, die das Sicherheitsprodukt von Kaspersky installiert haben. Die Acecard-App soll sich als Spiel oder ähnliches tarnen, und auch in den Google-Playstore gelangt sein.

Seit 2012 gibt es keinen offiziellen Adobe-Flash-Player mehr für Android. Wenn Nutzer auf ihrem Smartphone eine Meldung bekommen, dass der Adobe-Flash-Player für Funktionen benötigt wird, ist das ein sicherer Hinweis für zwielichtige Absichten.

Ab der Android-Version 5.1.0 ist es für Drittanbieter-Apps nicht mehr so einfach möglich, die Aktivitäten anderer Apps zu verfolgen. Dies erschwert den Angriff erheblich.

Das können Sie tun

Seien Sie umsichtig beim Installieren von Apps. Folgen Sie nur Links von vertrauenswürdigen Seiten auf Apps im Play-Store. So finden Sie besser eine Original-App und nicht ihren bösen Zwilling. Nutzen Sie wann immer möglich kontrollierte App-Stores, wie zum Beispiel F-Droid.

Es kann sehr schwierig sein, eine solche Infektion zu bemerken. Sie sollten aufmerksam werden, wenn Sie zweimal hintereinander nach den Logindaten gefragt werden oder wenn sich die App nach dem Login überraschend beendet.

Wie Schadpgroramme auf Ihr Smartphone kommen, erklären wir im Hintergrundtext Schadprogramme auf Mobilgeräten.

Zumindest eines der beschriebenen Schadprogramme verlangt Administrator-Rechte. Seien Sie grundsätzlich misstrauisch bei Apps, die solche Rechte fordern. Installieren Sie solche Apps nur in absoluten Ausnahmen. Beachten Sie die üblichen Sicherheitshinweise beim Installieren von Apps.

Nutzen Sie eine App, die gegen Schadprogramme schützt. Es gibt inzwischen kostenlose Angebote, die die Leistungsfähigkeit der Geräte kaum einschränken. Bekannte Bedrohungen können so schnell erkannt werden.

Wie Apps gegen Schadprogramme funktionieren, und wo sie an ihre Grenzen stoßen, erklären wir im Hintergrundtext: Sicherheitsapps für Android-Geräte.

Wenn Sie den Verdacht haben, dass Ihr Gerät infiziert ist, folgen Sie den Anweisungen in unserem Ratgeber: Was tun bei Infektionen?

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Apps gecheckt: Vorsicht, diese 7 Mail-Apps lesen Ihre E-Mails mit (Android)

Mail-Apps sollen die E-Mail-Verwaltung auf dem Smartphone erleichtern. Von 20 getesteten Android-Apps können wir jedoch nur drei empfehlen. Sieben lasen den Inhalt von E-Mails aus und übertrugen ihn an ein Unternehmensgeflecht, dessen Spuren nach Russland führen.

Mehr
Ratgeber 

Lern-App Socrative im Test

Mit Socrative können Lehrer*innen für ihre Klassen Tests aus verschiedenen Fragetypen zusammenstellen. Die App funktioniert für Schüler*innen ohne Registrierung, bindet keine Werbung ein und ist auch ansonsten datensparsam.

Mehr
Ratgeber 

iCloud: Praktischer Speicher oder Datensauger?

Mit der iCloud will Apple die Smartphone-Nutzung bequemer und sicherer machen. Der Dienst erstellt Backups, bietet Speicherplatz und hält Daten auf verschiedenen Apple-Geräten synchron. Welche Daten in Ihrer iCloud landen und wie privat sie dort sind, fassen wir hier zusammen.

Mehr
YouTube-Video 

Standortbestimmung komplett abschalten – so geht’s (Android)

Wo Ihr Android-Handy sich gerade befindet, können Apps und Google auf verschiedene Arten ermitteln. Wenn Sie per GPS und übers Internet nicht geortet werden möchten, müssen Sie im Gerät insgesamt vier Einstellungen deaktivieren.

Ansehen