Zum Hauptinhalt springen

Artikel

Bankbetrug per WhatsApp

Amit Tambe
Amit Tambe
|
18. Feb. 2025
|
4 min Lesezeit

Betrüger sind dort aktiv, wo sie potenzielle Opfer direkt erreichen können. F‑Secure hat eine laufende Betrugs­masche entdeckt, die derzeit gezielt Personen in Indien ins Visier nimmt. Doch solche Angriffe können jede Person treffen, die ein Smart­phone und ein Bank­konto besitzt — unabhängig vom Wohnort.

Die Betrugs­nachrichten werden direkt über Whats­App verschickt und fordern die Empfänger auf, manipulierte Android-Installations­dateien herunter­zuladen. Die Nach­richten geben sich als Nach­richten bekannter Banken wie Axis, ICICI oder SBI aus.

Ein Screenshot eines WhatsApp-Chats mit einem Betrüger, der sich als Vertreter der Axis Bank ausgibt.

Abbildung 1: Betrugsnachricht, die Dringlichkeit suggeriert (aus einem LinkedIn-Post).

Ein Screenshot eines anderen WhatsApp-Chats mit einem Betrüger, der vorgibt, die „axis bank“ zu vertreten.

Abbildung 2: Weitere Betrugs­nachricht, die an die Dringlichkeit appelliert (von F‑Secure erfasst).

Die Betrugs­masche beginnt mit einer WhatsApp-Nachricht, die beim Empfänger ein Gefühl von Dringlichkeit erzeugen soll. Oft heißt es, das Bank­konto sei gesperrt oder stehe kurz vor der Schließung. Die Betrüger versuchen, das Opfer dazu zu bringen, eine beigefügte APK-Datei zu installieren — angeblich um persönliche Daten zu aktualisieren.

APK ist ein gängiges Datei­format für Android-Anwendungen. In diesem Fall ist die Datei jedoch mit Schad­software infiziert. Ziel der Angreifer ist es, dass das Opfer durch geschickte Täuschung die infizierte Datei installiert — und der Malware so Tür und Tor öffnet.

Wie funktioniert die Bank­betrug-Malware?

Was passiert, wenn das Opfer die infizierte Datei geöffnet hat? F‑Secure hat eine entsprechende WhatsApp-Nachricht von einer Quelle erhalten (siehe Abbildung 2). Wir haben die angehängte APK-Datei analysiert und Folgendes fest­gestellt:

Nach der Installation fragt die gefälschte Banking-App nach der Berechtigung, SMS-Nach­richten zu lesen und zu versenden (Abbildung 3). Dies scheint auf den ersten Blick harmlos, ist aber für das Funktionieren der Malware entscheidend. Warum das so ist, erklären wir gleich.

Ein Screenshot der gefälschten Axis Bank-App, die um Erlaubnis zum Senden und Anzeigen von SMS-Nachrichten bittet.

Abbildung 3: Die Malware fordert Zugriff auf SMS-Nachrichten.

Sobald die Berechtigung erteilt ist, führt die App den Nutzer durch mehrere Bild­schirme, auf denen jeweils unter­schiedliche persönliche Daten abgefragt werden (Abbildung 4). Dazu zählen unter anderem die Mobil­nummer, Konto­nummer, das Geburts­datum und Details zur Debit­karte des Opfers.

Drei Screenshots der gefälschten Axis Bank-App, die die persönlichen Daten des Benutzers abfragt.

Abbildung 4: Bildschirm­abfolge zur Abfrage der persönlichen Daten des Opfers.

Sobald das Opfer alle Informationen eingegeben hat, erscheint eine gefälschte Erfolgs­nachricht (Abbildung 5). Diese behauptet, dass die Daten erfolgreich über­mittelt wurden. Tatsächlich werden jedoch keine Daten an die Bank weiter­geleitet.

Ein Screenshot der gefälschten Axis Bank-App zeigt ein großes Häkchen und „Erfolg“ in grün.

Abbildung 5: Gefälschte „Erfolgs“-Nachricht.

Ein Screenshot der gefälschten Axis Bank App mit einem schlecht geschriebenen „Wichtigen Hinweis“, die App weder zu löschen noch zu deinstallieren.

Abbildung 6. Eine andere „Erfolgs“-Nachricht mit Warnung vor Deinstallation.

In anderen von uns analysierten Schadcode-Proben zeigt die App zum Abschluss eine „Erfolgs“-Nachricht — zusammen mit dem Hinweis, die App nicht zu deinstallieren. Der Grund: Diese vermeintliche „Bank­daten-Aktualisierungs-App“ ist nicht im Play Store erhältlich (Abbildung 6).

Was passiert im Hinter­grund wirklich?

Für viele Nutzer wirkt der gesamte Ablauf täuschend echt. In Wahrheit greift die App im Hinter­grund auf sensible Daten und das Bank­konto zu — ohne Wissen und Erlaubnis des Opfers. So läuft der Online-Banking-Betrug im Detail hinter den Kulissen ab:

Datendiebstahl

Wie oben gezeigt, gibt die gefälschte Banking-App vor, Nutzer­daten zu erfassen, um das Konto zu aktualisieren. Tatsächlich sammelt sie diese Informationen heimlich. Die eingegebenen Daten werden entweder in eine Cloud-Daten­bank hoch­geladen oder direkt an einen vom Angreifer kontrollierten Server gesendet.

Ein Screenshot des Anwendungscodes, in dem die für das Ausfüllen des Formulars relevanten Zeilen gelb hervorgehoben sind.

Abbildung 7: Persönliche Nutzer­daten werden in die Cloud hoch­geladen.

Umgehung der Zwei-Faktor-Authentifizierung

Das Hauptziel der Malware ist es, Zugangs­daten für das Online-Banking zu stehlen. Mit diesen Daten können die Angreifer das Bank­konto des Opfers über­nehmen. Allerdings muss sich der Angreifer zunächst im Bank­konto des Opfers anmelden.

Wenn der Nutzer die Zwei-Faktor-Authentifizierung eingerichtet hat, sendet die Banking-App bei der Anmeldung ein Einmal­pass­wort (OTP) an das Telefon des Nutzers. Das bedeutet, dass der Betrüger nicht nur die Anmelde­daten des Opfers stehlen muss, sondern auch das von der Bank gesendete OTP benötigt, um Zugang zu erhalten.

Um an das Einmal­pass­wort zu gelangen, müssen die Betrüger das Opfer dazu bringen, spezielle Berechtigungen zuzulassen. Und genau hier kommen die zuvor angeforderten SMS-Berechtigungen ins Spiel (siehe Abbildung 3).

Sobald das Smart­phone das Einmal­passwort per SMS empfängt, erkennt die Malware dieses automatisch — und leitet es an das Gerät des Betrügers weiter. So wird die Zwei-Faktor-Authentifizierung umgangen und die Kriminellen erhalten Zugriff auf das Konto.

Ein Screenshot des Anwendungscodes, der die Umgehung der Multi-Faktor-Authentifizierung ermöglicht.

Abbildung 8: Diese Codezeile leitet alle SMS an den Angreifer weiter.

Fazit: Vorsicht vor Online-Banking-Betrug

Auch wenn dieser Bank­betrug derzeit auf Banken in Indien abzielt, lassen sich ähnliche Methoden überall anwenden — und nicht nur im Bank­wesen. Betrüger geben sich auch als andere vertrauens­würdige Dienste aus.

WhatsApp bietet durch seine enorme Reich­weite eine ideale Plattform für Betrüger, um welt­weit potenzielle Opfer zu erreichen. Wir empfehlen Ihnen daher höchste Vorsicht bei unbekannten Links oder Anhängen, insbesondere wenn Sie diese über WhatsApp erhalten.

Wenn Sie wachsam bleiben und die Warn­signale für Betrug kennen, können Sie Ihre Daten und Ihr Geld besser schützen.

  • devices secured illustration

    Schützen Sie alles, was Sie online tun

    Machen Sie das sichere Surfen im Internet einfach mit einer App, die alles kann.

    Jetzt schützen

    • Seitenabschnitte

    In diesem Artikel:

    Wie funktioniert die Bank­betrug-Malware?Was passiert im Hinter­grund wirklich?Fazit: Vorsicht vor Online-Banking-Betrug
    total app on different devices

    Schützen Sie Ihre Geräte vor Schad­software mit F‑Secure Total

    Der Schutz Ihrer Geräte vor Schad­software ist entscheidend, um Ihre Online-Sicherheit zu gewährleisten. F‑Secure Total macht es Ihnen leicht, Ihre Geräte auf genial einfache Weise abzusichern.

    • Preisgekrönter Schutz vor Viren und Malware

    • Sicheres Surfen, Einkaufen und Online-Banking

    • Rund-um-die-Uhr-Überwachung von Online-Identitäten und Datenpannen

    • Unbegrenzter VPN-Dienst zum Schutz Ihrer Privatsphäre

    • Passwortmanager zum Schutz Ihrer persönlichen Daten

    Lesen Sie mehr über Total