Categories: SicherheitVirus

Gustuff: Android-Trojaner nimmt mehr als 120 Banking- und Messaging-Apps ins Visier

Die Cybersicherheitsfirma Group-IB hat einen neuen Trojaner für Googles Mobilbetriebssystem Android entdeckt. Er ist offenbar schon seit fast einem Jahr im Umlauf und wurde in der Zeit mehrfach aktualisiert und um neue Funktionen und Ziele erweitert. Einer Analyse der Forscher zufolge ist die Gustuff genannte Malware in der Lage, Anmeldedaten von mehr als 100 Banking-Apps und 32 Kryptowährungs-Apps zu stehlen und automatisch Transaktionen auszuführen.

Android-Malware (Bild: Fraunhofer SIT)Zu seinen Zielen gehören unter anderem bekannte Banken wie Bank of America, Bank of Scotland, J.P. Morgan, Wells Fargo und Capital One. Außerdem werden die virtuellen Geldbörsen BitPay, Cryptopay, Coinbase und Bitcoin Wallet angegriffen. Die Hintermänner haben es aber auch auf Anmeldedaten von Bezahl- und sogar Messaging-Apps wie PayPal, Western Union, eBay, Skype und WhatsApp abgesehen.

Grundsätzlich funktioniert Gustuff wie nahezu jeder andere Banking-Trojaner für Android. Per Social Engineering versucht die Malware, den Zugriff auf die Bedienungshilfen zu erlangen, mit denen sich Bedienungsvorgänge automatisieren und Klicks im Namen des Nutzers ausführen lassen. Darüber sichern sich viele Schadprogramme zudem Administratorrechte. Anschließend zeigen sie gefälschte Anmelde-Dialoge als Overlay über den eigentlichen Banking- oder Bezahl-Apps an, um Nutzernamen und Passwörter abzugreifen.

In einem wichtigen Punkt unterscheidet sich Gustuff jedoch von anderen Banking-Trojanern. Laut Rustam Mirkasymov, Head of Dynamic Analysis of Malware bei Group-IB, nutzt Gustuff die Bedienungshilfen auch, um einen Automatic Transfer Service (ATS) auszuführen. Das bedeutet, dass die Malware Apps öffnen, die Anmeldedaten und Transaktionsdetails eintragen und sogar die Überweisung selbstständig bestätigen kann. Die gestohlenen Anmeldedaten müssen also das Gerät des Nutzers nicht verlassen und werden stattdessen benutzt, um direkt Geld auf ein Konto der Angreifer zu überweisen.

Mirkasymov zufolge ist Gustuff fortschrittlicher als andere Banking-Trojaner für Android wie Anubis und RedAlert. Bisher sei Gustuff aber noch nicht so weit verbreitet. Vor allem habe er es noch nicht in Googles Play Store geschafft. Derzeit setzten die Hintermänner zur Verbreitung auf SMS-Spam, wobei die unerwünschten Nachrichten Links zu einer Installationsdatei für den Trojaner enthielten.

Angeboten wird der Gustuff vor allem in russischen Untergrundforen. Dort werden auch weitere Funktionen beworben. Die Malware soll unter anderem in der Lage sein, Google Play Protect abzuschalten und so einer Erkennung zu entgehen. Dies soll zumindest in 70 Prozent der Fälle funktionieren. Außerdem soll Gustuff Benachrichtigungen beliebiger Apps nachahmen, um dann eine Website oder App seiner Wahl zu öffnen – beispielsweise eine Phishing-Website, um Anmeldedaten für eine bestimmte Bank zu stehlen, oder eine App zu öffnen, über die dann automatisiert eine Transaktion ausgeführt wird.

Aber auch Daten wie Dokumente, Fotos und Videos werden von Gustuff ausgelesen. Um einer Entdeckung zu entgehen beziehungsweise alle Spuren von kriminellen Aktivitäten zu verwischen, verspricht der Entwickler, dass der Trojaner ein Gerät auf die Werkseinstellungen zurücksetzen kann.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Balkonkraftwerk mit Speicher: Lohnt sich die Investition wirklich?

Ein Balkonkraftwerk mit Speicher ermöglicht es, den Eigenverbrauchsanteil deutlich zu erhöhen und Solarstrom auch dann…

48 Minuten ago

Kritische Sicherheitslücke in Microsoft Windows entdeckt

ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.

2 Tagen ago

Malware-Ranking: Trojaner AsyncRat in Deutschland auf dem Vormarsch

Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…

2 Tagen ago

Forscher entwickeln vernetzte Immersive-Lösungen

Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…

2 Tagen ago

Dritte Beta von Android 16 veröffentlicht

Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…

2 Tagen ago

Intel ernennt Lip-Bu Tan zum neuen CEO

Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…

3 Tagen ago