die aber einen Android – Trojaner verbirgt, der unter anderem PINs und TANs für das Online – Banking ausspioniert. Die Fachjournalisten von heise.de fanden folgendes heraus:
"Wir erinnern Sie, dass ab dem 25 April die Nutzung des mobilen TAN-Service nur mit der SSL-Zertifikat App möglich ist", heißt es in der Mail mit dem Betreff "Extended Validation-Zertifikate (EV-SSL-Zertifikat) im Android" die angeblich von "kundenservice@postbank.de" stammt. Was geschieht, wenn der mitgeschickte Link besucht wird, hängt vom verwendeten Betriebssystem ab. Wird die verlinkte Website mit einem PC, Mac oder iOS-Gerät besucht, erfolgt lediglich die knappe Meldung, das Zertifikat sei erfolgreich installiert worden.
Anders sieht es jedoch aus, wenn für den Website-Besuch ein Mobilgerät mit Googles Betriebssystem Android verwendet wird. Dann nämlich erscheint ein ausführlicher Text zu "Extended Validation-Zertifikaten" mit der Aufforderung, eine spezielle App zu installieren, um sein Online-Banking zu schützen. Die Anleitung erklärt eigens, wie in den Einstellungen des Smartphones oder Tablets die Installation von Apps aus unbekannten Quellen freigeschaltet werden kann. Die dabei auftauchende Sicherheitswarnung könne man ignorieren: "Die EV-SSL-Zertifikat App ist sicher" heißt es da in fett und rot. Zum Abschluss der Installation wird dann ganz dreist die PIN des Online-Banking-Zugangs angefordert – angeblich für die "Authentifizierung des EV-SSL-Zertifikat[s] mit der Bank".
Die angeblich sichere App überträgt nach Installation Telefonnummer und IMEI an einen Command-and-Control-Server in den USA. Die Experten vermuten, dass auch später eigegebene Banking-Daten wie PINs und mTANS an diese Server weitergeleitet werden.
"Wir erinnern Sie, dass ab dem 25 April die Nutzung des mobilen TAN-Service nur mit der SSL-Zertifikat App möglich ist", heißt es in der Mail mit dem Betreff "Extended Validation-Zertifikate (EV-SSL-Zertifikat) im Android" die angeblich von "kundenservice@postbank.de" stammt. Was geschieht, wenn der mitgeschickte Link besucht wird, hängt vom verwendeten Betriebssystem ab. Wird die verlinkte Website mit einem PC, Mac oder iOS-Gerät besucht, erfolgt lediglich die knappe Meldung, das Zertifikat sei erfolgreich installiert worden.
Anders sieht es jedoch aus, wenn für den Website-Besuch ein Mobilgerät mit Googles Betriebssystem Android verwendet wird. Dann nämlich erscheint ein ausführlicher Text zu "Extended Validation-Zertifikaten" mit der Aufforderung, eine spezielle App zu installieren, um sein Online-Banking zu schützen. Die Anleitung erklärt eigens, wie in den Einstellungen des Smartphones oder Tablets die Installation von Apps aus unbekannten Quellen freigeschaltet werden kann. Die dabei auftauchende Sicherheitswarnung könne man ignorieren: "Die EV-SSL-Zertifikat App ist sicher" heißt es da in fett und rot. Zum Abschluss der Installation wird dann ganz dreist die PIN des Online-Banking-Zugangs angefordert – angeblich für die "Authentifizierung des EV-SSL-Zertifikat[s] mit der Bank".
Die angeblich sichere App überträgt nach Installation Telefonnummer und IMEI an einen Command-and-Control-Server in den USA. Die Experten vermuten, dass auch später eigegebene Banking-Daten wie PINs und mTANS an diese Server weitergeleitet werden.
