Gugi: Banking-Trojaner überlistet Sicherheitsfeatures von Android 6

Experten von Kaspersky Lab haben eine modifizierte Version des Banking-Trojaners „Gugi“ entdeckt. Er ist einem Blogbeitrag der Sicherheitsexperten zufolge in der Lage, zwei neuen Sicherheitsfunktionen von Android 6 zum Blockieren von Phishing und Ransomware-Angriffen zu umgehen. Die Zahl der Opfer stieg laut Kaspersky zwischen April und Anfang August 2016 um das Zehnfache.

Die Trojaner-Familie „Trojan-Banker.AndroidOS.Gugi“ ist seit Dezember 2015 bekannt, wobei die modifizierte Form „Trojan-Banker.AndroidOS.Gugi.c“ erst im Juni 2016 entdeckt worden ist.

Ziel von Gugi sind Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden. Android 6 Marshmallow mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde im Herbst letzten Jahres vorgestellt. Unter anderem benötigen Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die von Kaspersky Lab entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Die Infizierung selbst erfolgt ausschließlich durch Social-Engineering, in der Regel mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken beispielsweise um ein MMS-Foto anzusehen. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die Zugangsrechte, die er benötigt. Anschließend erscheint auf dem Display eine Nachricht, dass zusätzliche Rechte erforderlich sind. Der Nutzer hat nur die Möglichkeit zuzustimmen. Hat er zugestimmt, wird er gefragt, ob er der App erlauben will, andere Apps zu überlagern. Nachdem die Erlaubnis eingeholt wurde, blockiert der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und fragt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

Erhält der Trojaner nicht alle von ihm geforderten Rechte, blockiert er das infizierte Gerät gänzlich. In diesem Fall hat der Nutzer nur noch die Möglichkeit zu versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten hat, wird das allerdings weiter erschwert.

„Betriebssysteme wie Android stellen regelmäßig Updates zur Verbesserung ihrer Sicherheitsfunktionen zur Verfügung“, so Roman Unucheck, Senior Malware-Analyst bei Kaspersky Lab. „Gleichzeitig sind Cyberkriminelle schonungslos bei ihren Versuchen, die Sicherheitsfunktionen zu umgehen. Mit der Entdeckung von Gugi können wir diese neue Gefahr neutralisieren und Menschen helfen, ihre Geräte und Daten zu schützen.“

Kaspersky Lab empfiehlt Android-Nutzern Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden und nicht nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben. Anwender sollten sich Gedanken darüber machen, wofür und warum angefragt wird. Außerdem rät das Unternehmen zur Installation einer aktuellen Anti-Malware-Lösung respektive eine bestehende Anwendung entsprechend zu aktualisieren.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago