SpyEye Trojaner filmt Nutzer deutscher Banking-Websites

Nach Angaben eines Kaspersky Mitarbeiters befindet sich eine neue Variante des SpyEye Trojaners im Umlauf, die sich gezielt gegen Benutzer richtet, die Websites deutscher Banken besuchen. Ruft der Nutzer eines infizierten PCs eine der im Code des Trojaners hinterlegten Bankingseiten auf, startet die Schadsoftware ein Flashelement, welches die Webcam aktiviert. Ab diesem Zeitpunkt werden aufgezeichnete Video- und Audiodaten in Echtzeit übertragen. Die normalerweise übliche Abfrage, ob die Webcam verwendet werden darf, unterdrückt der Trojaner.

Nicht völlig geklärt ist bisher, welchem Zweck die Übertragung des Videos dient. Für die eigentliche Schädigung wird die Webcam jedenfalls nicht benötigt, da die betroffenen Banken keinerlei biometrische Authentifizierung, z.B. per Gesichtserkennung, anbieten. In seinem Beitrag mutmaßt der Autor, dass die Aufzeichnung dazu diene, Telefongespräche mit der Bank aufzuzeichnen, wenn der Nutzer bei einer unerwarteten Abfrage eines Sicherheitscodes Verdacht schöpfe und daraufhin seine Bank kontaktiere. Die bei diesem Gespräch aufgezeichneten telefonischen Sicherheitsabfragen könne der Angreifer dazu nutzen, später selber bei der Bank anzurufen und so das Konto zu übernehmen. Für diese Einschätzung stützt sich der Kaspersky Mitarbeiter auch Erfahrungen eines Kollegen, der sich mit einer ähnlichen Schadsoftware beschäftigt hat, die Nutzer ecuadorianischer Banken ebenfalls per Video ausspionierte.

Nach Microsofts 12. Security Intelligence Report (PDF) ist SpyEye, welcher im Report als Win32/EyeStye bezeichnet wird, insbesondere in Deutschland stark verbreitet. Dem Report lässt sich entnehmen (Seite 66), dass mehr als die Hälfte aller durch Microsoft festgestellten Infektionen in Deutschland erfolgte.