Categories: SicherheitVirus

Gustuff: Android-Trojaner nimmt mehr als 120 Banking- und Messaging-Apps ins Visier

Die Cybersicherheitsfirma Group-IB hat einen neuen Trojaner für Googles Mobilbetriebssystem Android entdeckt. Er ist offenbar schon seit fast einem Jahr im Umlauf und wurde in der Zeit mehrfach aktualisiert und um neue Funktionen und Ziele erweitert. Einer Analyse der Forscher zufolge ist die Gustuff genannte Malware in der Lage, Anmeldedaten von mehr als 100 Banking-Apps und 32 Kryptowährungs-Apps zu stehlen und automatisch Transaktionen auszuführen.

Zu seinen Zielen gehören unter anderem bekannte Banken wie Bank of America, Bank of Scotland, J.P. Morgan, Wells Fargo und Capital One. Außerdem werden die virtuellen Geldbörsen BitPay, Cryptopay, Coinbase und Bitcoin Wallet angegriffen. Die Hintermänner haben es aber auch auf Anmeldedaten von Bezahl- und sogar Messaging-Apps wie PayPal, Western Union, eBay, Skype und WhatsApp abgesehen.

Grundsätzlich funktioniert Gustuff wie nahezu jeder andere Banking-Trojaner für Android. Per Social Engineering versucht die Malware, den Zugriff auf die Bedienungshilfen zu erlangen, mit denen sich Bedienungsvorgänge automatisieren und Klicks im Namen des Nutzers ausführen lassen. Darüber sichern sich viele Schadprogramme zudem Administratorrechte. Anschließend zeigen sie gefälschte Anmelde-Dialoge als Overlay über den eigentlichen Banking- oder Bezahl-Apps an, um Nutzernamen und Passwörter abzugreifen.

In einem wichtigen Punkt unterscheidet sich Gustuff jedoch von anderen Banking-Trojanern. Laut Rustam Mirkasymov, Head of Dynamic Analysis of Malware bei Group-IB, nutzt Gustuff die Bedienungshilfen auch, um einen Automatic Transfer Service (ATS) auszuführen. Das bedeutet, dass die Malware Apps öffnen, die Anmeldedaten und Transaktionsdetails eintragen und sogar die Überweisung selbstständig bestätigen kann. Die gestohlenen Anmeldedaten müssen also das Gerät des Nutzers nicht verlassen und werden stattdessen benutzt, um direkt Geld auf ein Konto der Angreifer zu überweisen.

Mirkasymov zufolge ist Gustuff fortschrittlicher als andere Banking-Trojaner für Android wie Anubis und RedAlert. Bisher sei Gustuff aber noch nicht so weit verbreitet. Vor allem habe er es noch nicht in Googles Play Store geschafft. Derzeit setzten die Hintermänner zur Verbreitung auf SMS-Spam, wobei die unerwünschten Nachrichten Links zu einer Installationsdatei für den Trojaner enthielten.

Angeboten wird der Gustuff vor allem in russischen Untergrundforen. Dort werden auch weitere Funktionen beworben. Die Malware soll unter anderem in der Lage sein, Google Play Protect abzuschalten und so einer Erkennung zu entgehen. Dies soll zumindest in 70 Prozent der Fälle funktionieren. Außerdem soll Gustuff Benachrichtigungen beliebiger Apps nachahmen, um dann eine Website oder App seiner Wahl zu öffnen – beispielsweise eine Phishing-Website, um Anmeldedaten für eine bestimmte Bank zu stehlen, oder eine App zu öffnen, über die dann automatisiert eine Transaktion ausgeführt wird.

Aber auch Daten wie Dokumente, Fotos und Videos werden von Gustuff ausgelesen. Um einer Entdeckung zu entgehen beziehungsweise alle Spuren von kriminellen Aktivitäten zu verwischen, verspricht der Entwickler, dass der Trojaner ein Gerät auf die Werkseinstellungen zurücksetzen kann.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

22 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

22 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago