Gustuff: Android-Trojaner nimmt mehr als 120 Banking- und Messaging-Apps ins Visier

Die Cybersicherheitsfirma Group-IB hat einen neuen Trojaner für Googles Mobilbetriebssystem Android entdeckt. Er ist offenbar schon seit fast einem Jahr im Umlauf und wurde in der Zeit mehrfach aktualisiert und um neue Funktionen und Ziele erweitert. Einer Analyse der Forscher zufolge ist die Gustuff genannte Malware in der Lage, Anmeldedaten von mehr als 100 Banking-Apps und 32 Kryptowährungs-Apps zu stehlen und automatisch Transaktionen auszuführen.

Zu seinen Zielen gehören unter anderem bekannte Banken wie Bank of America, Bank of Scotland, J.P. Morgan, Wells Fargo und Capital One. Außerdem werden die virtuellen Geldbörsen BitPay, Cryptopay, Coinbase und Bitcoin Wallet angegriffen. Die Hintermänner haben es aber auch auf Anmeldedaten von Bezahl- und sogar Messaging-Apps wie PayPal, Western Union, eBay, Skype und WhatsApp abgesehen.

Grundsätzlich funktioniert Gustuff wie nahezu jeder andere Banking-Trojaner für Android. Per Social Engineering versucht die Malware, den Zugriff auf die Bedienungshilfen zu erlangen, mit denen sich Bedienungsvorgänge automatisieren und Klicks im Namen des Nutzers ausführen lassen. Darüber sichern sich viele Schadprogramme zudem Administratorrechte. Anschließend zeigen sie gefälschte Anmelde-Dialoge als Overlay über den eigentlichen Banking- oder Bezahl-Apps an, um Nutzernamen und Passwörter abzugreifen.

In einem wichtigen Punkt unterscheidet sich Gustuff jedoch von anderen Banking-Trojanern. Laut Rustam Mirkasymov, Head of Dynamic Analysis of Malware bei Group-IB, nutzt Gustuff die Bedienungshilfen auch, um einen Automatic Transfer Service (ATS) auszuführen. Das bedeutet, dass die Malware Apps öffnen, die Anmeldedaten und Transaktionsdetails eintragen und sogar die Überweisung selbstständig bestätigen kann. Die gestohlenen Anmeldedaten müssen also das Gerät des Nutzers nicht verlassen und werden stattdessen benutzt, um direkt Geld auf ein Konto der Angreifer zu überweisen.

Mirkasymov zufolge ist Gustuff fortschrittlicher als andere Banking-Trojaner für Android wie Anubis und RedAlert. Bisher sei Gustuff aber noch nicht so weit verbreitet. Vor allem habe er es noch nicht in Googles Play Store geschafft. Derzeit setzten die Hintermänner zur Verbreitung auf SMS-Spam, wobei die unerwünschten Nachrichten Links zu einer Installationsdatei für den Trojaner enthielten.

Angeboten wird der Gustuff vor allem in russischen Untergrundforen. Dort werden auch weitere Funktionen beworben. Die Malware soll unter anderem in der Lage sein, Google Play Protect abzuschalten und so einer Erkennung zu entgehen. Dies soll zumindest in 70 Prozent der Fälle funktionieren. Außerdem soll Gustuff Benachrichtigungen beliebiger Apps nachahmen, um dann eine Website oder App seiner Wahl zu öffnen – beispielsweise eine Phishing-Website, um Anmeldedaten für eine bestimmte Bank zu stehlen, oder eine App zu öffnen, über die dann automatisiert eine Transaktion ausgeführt wird.

Aber auch Daten wie Dokumente, Fotos und Videos werden von Gustuff ausgelesen. Um einer Entdeckung zu entgehen beziehungsweise alle Spuren von kriminellen Aktivitäten zu verwischen, verspricht der Entwickler, dass der Trojaner ein Gerät auf die Werkseinstellungen zurücksetzen kann.