Neuer Trojaner Gugi greift Bank-Kunden an

Neuer Trojaner Gugi greift Bank-Kunden an Foto: Fractal Verlag/123rf

    Experten von Kaspersky Lab haben eine modifizierte Version des Banking-Trojaners ‚Gugi‘ entdeckt, der die neuen Sicherheitsfunktionen von Android 6 zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann. Der modifizierte Trojaner zwingt Nutzer dazu, ihm Rechte einzuräumen, damit er Apps überlagern (Display Overlay), SMS-Nachrichten verschicken und lesen oder Anrufe tätigen kann.

    Das Ziel des Gugi-Trojaners sind Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden. Das neue Android-6-Betriebssystem mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde Ende des Jahres 2015 vorgestellt. Unter anderem benötigen Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die von Kaspersky Lab entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

    Die Gugi-Infizierung erfolgt zunächst durch Social-Engineering, meist mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die Zugangsrechte, die er benötigt. Anschliessend erscheint auf dem Display eine Nachricht, die die Benötigung zusätzlicher Rechte anfordert, , der der Nutzer nur zustimmen kann. Wenn der Nutzer dies tut, wird er gefragt, ob er der App erlauben möchte, andere Apps zu überlagern. Nachdem die Erlaubnis eingeholt wurde, blockiert der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und frägt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

    Falls der Trojaner nicht alle eingeforderten Rechte erhält, blockiert er das infizierte Gerät gänzlich. Falls dies passiert, kann der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Das wird jedoch  weiter erschwert, sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten hat. Gugi ist ein typischer Banking-Trojaner: er stiehlt Finanzzugangsdaten, SMS-Nachrichten und Kontakte, stellt USSD-Anfragen (Unstructured Supplementary Service Data) und verschickt SMS-Nachrichten auf Anweisung des Command-Servers.

    Kaspersky Lab empfiehlt Android-Nutzern Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden und nicht nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben. Anwender sollten sich Gedanken darüber machen, wofür und warum angefragt wird. Ausserdem rät das Unternehmen zur Installation einer aktuellen Anti-Malware-Lösung respektive eine bestehende Anwendung entsprechend zu aktualisieren.

    Soziale Netzwerke

     

    Fractal Verlag GmbH

      +41 61 683 88 76

      Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!