Sicherheit

Banking-Trojaner Gugi überlistet Sicherheitsfunktionen von Android 6

Der Banking-Trojaner Gugi überlistet die neuen Sicherheitsfunktionen von Android 6 und zwingt die Nutzer zu Einräumung von umfangreichen Rechten, mit denen er seine Opfer anschließend ausspäht.
Von Paul Miot-Paschke
AAA
Teilen (15)

Experten des Cyber­sicherheits­unternehmens Kaspersky haben eine modifizierte Version des Banking-Trojaners Gugi entdeckt, der die neuen Sicherheits­funktionen von Android 6 zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann. Der Trojaner zwingt die Nutzer zur Einräumung von Rechten, mit denen dieser anschließend die Apps des Nutzers mit eigenen Inhalten überlagern (Display Overlay), SMS-Nachrichten verschicken und lesen oder Anrufe tätigen kann. Eigentlich sollte das Ende 2015 vorgestellte neue Android-6-Betriebssystem mit neuen Sicherheitsvorkehrungen solche Angriffe verhindern: Apps benötigen seitdem die Einwilligung des Nutzers, um andere Apps überlagern zu können. Außerdem muss der Nutzer jeweils zustimmen, wenn Apps das erste Mal eine SMS-Nachrichten senden oder Anrufe tätigen wollen. Genau diese Schutzmechanismen werden von der modifizierten Version von Gugi umgangen. Eine modifizierte Version des Banking-Trojaners "Gugi" kann neue Sicherheitsfunktionen von Android 6 umgehenEine modifizierte Version des Banking-Trojaners "Gugi" kann neue Sicherheitsfunktionen von Android 6 umgehen

Rechte-Verweigerung führt zu Blockierung des Gerätes

Verbreitet wird das Schadprogramm laut Kaspersky vor allem per Social-Engineering, wobei der Nutzer aufgefordert wird, einen schadhaften Link in einer Spam-SMS anzuklicken. Nach der Installation holt sich der Trojaner die Zugriffsrechte, die er benötigt. Ist dies vollzogen, erscheint auf dem Display des betroffenen Nutzers eine Nachricht, die zusätzliche Rechte anfordert. Der Clou: Der Nutzer kann der Anfrage nur zustimmen.

Sofern der Trojaner nicht alle geforderten Rechte erhält, blockiert er das infizierte Gerät vollständig. Der Nutzer kann dann nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Sollte der Trojaner bereits die "Trojan Device Administration"-Rechte erhalten haben, wird dies jedoch sehr schwierig.

Was macht Gugi eigentlich?

Das Ziel des Trojaners sind Zugangsdaten für mobiles Banking und Kreditkartendetails. Entwendet werden die Daten durch Überlagerung der eigentlichen Banking-App mit einer Fishing-App, die wie die eigentlich vom Nutzer erwartete Anwendung aussieht. Der Banking-Trojaner Gugi stielt zusätzlich zu Finanzzugangsdaten auch SMS-Nachrichten und Kontakte. Außerdem stellt er USSD-Anfragen und verschickt SMS-Nachrichten auf Anweisung des Command-Servers.

Trojaner-Familie schon länger bekannt

Gugi scheint sich bei Cyberkriminellen zunehmender Beliebheit zu erfreuen, zwischen April und Anfang August 2016 soll die Anzahl der Opfer um das Zehnfache gestiegen sein. Die Trojaner-Familie "Trojan-Banker.AndroidOS.Gugi" ist bereits seit Dezember 2015 bekannt, wobei die modifizierte Form "Trojan-Banker.AndroidOS.Gugi.c" erst im Juni diesen Jahres entdeckt worden ist.

Kaspersky Lab gibt Sicherheitstipps

Zum Schutz vor Gugi und anderen mobilen Malware-Bedrohungen empfiehlt Kaspersky Android-Nutzern nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben. Man solle sich immer Gedanken machen, wofür und warum angefragt wird. Außerdem wird eine Anti-Malware-Lösung empfohlen. Des Weiteren sollen Klicks auf Links in unbekannten oder unerwarteten Nachrichten unbedingt vermieden werden. Auch beim Surfen auf Webseiten ist Vorsicht angesagt - wenn einem etwas verdächtig vorkommt, ist es meistens auch verdächtig.

Teilen (15)

Mehr zum Thema Trojaner