Banking-Trojaner Gugi: Neue Sicherheitsfunktionen bei Android 6 überlistet

Zwischen April und Anfang August 2016 Anzahl der Opfer um das Zehnfache gestiegen

[datensicherheit.de, 06.09.2016] Laut einer aktuellen Meldung von KASPERSKY lab haben hauseigene Experten eine modifizierte Version des Banking-Trojaners „Gugi“ entdeckt, der die neuen Sicherheitsfunktionen von „Android 6“ zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann. Dieser modifizierte Trojaner zwinge Nutzer dazu, ihm Rechte einzuräumen, um damit Apps zu überlagern (Display Overlay), SMS-Nachrichten zu verschicken und zu lesen oder Anrufe zu tätigen. „Gugi“ verbreite sich über Social-Engineering und die Nutzung durch Cyber-Kriminelle nehme zu – zwischen April und Anfang August 2016 sei die Anzahl der Opfer um das Zehnfache gestiegen.

Zugangsdaten für mobiles Banking und Kreditkartendetails im Visier

Das Ziel des „Gugi“-Trojaners seien Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des „Google Play Stores“ entwendet würden.
Das neue „Android-6“-Betriebssystem mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollten, sei Ende des Jahres 2015 vorgestellt worden. Unter anderem benötigten Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, um das erste Mal eine SMS-Nachricht zu senden oder Anrufe zu tätigen. Die von KASPERSKY lab entdeckte modifizierte Version des „Gugi“-Trojaners könne diese Funktionen umgehen.

Nach Installation des Trojaners Einholung der Zugangsrechte

Die Infektion mit „Gugi“ erfolge zunächst durch Social-Engineering, meist mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken.
Sobald der Trojaner auf dem Gerät installiert worden ist, hole er sich die Zugangsrechte, die er benötigt. Anschließend erscheine auf dem Display eine Nachricht, welche die Benötigung zusätzlicher Rechte anfordere; dieser könne der Nutzer nur zustimmen. Wenn der Nutzer dies tut, werde er gefragt, ob er der App erlauben möchte, andere Apps zu überlagern. Nach Einholung dieser Erlaubnis blockiere der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und frage um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.
Falls der Trojaner nicht alle eingeforderten Rechte erhält, blockiere er das infizierte Gerät gänzlich. Dann könne der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Das werde jedoch weiter erschwert, sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten haben.

Typischer Banking-Trojaner

„Gugi“ sei ein typischer Banking-Trojaner – er stehle Finanzzugangsdaten, SMS-Nachrichten und Kontakte, stelle USSD-Anfragen (Unstructured Supplementary Service Data) und verschicke SMS-Nachrichten auf Anweisung des Command-Servers.
Betriebssysteme wie „Android“ stellten regelmäßig Updates zur Verbesserung ihrer Sicherheitsfunktionen zur Verfügung, so Roman Unucheck, „Senior Malware-Analyst“ bei KASPERSKY lab. Gleichzeitig seien Cyber-Kriminelle schonungslos bei ihren Versuchen, die Sicherheitsfunktionen zu umgehen. Mit der Entdeckung von „Gugi“ könne man diese neue Gefahr neutralisieren und Menschen helfen, ihre Geräte und Daten zu schützen.
Die Trojaner-Familie „Trojan-Banker.AndroidOS.Gugi“ sei seit Dezember 2015 bekannt, wobei die modifizierte Form „Trojan-Banker.AndroidOS.Gugi.c“ erst im Juni 2016 entdeckt worden sei. Die betreffenden Produkte von KASPERSKY lab könnten „sämtliche Formen der Gugi-Trojaner-Malware erkennen“.

KASPERSKYs Sicherheitstipps

Um sich selbst vor „Gugi“ und weiteren mobilen Malware-Bedrohung zu schützen, empfiehlt KASSPERSKY lab den „Android“-Nutzern:

• nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben – man sollte sich Gedanken darüber machen, wofür und warum angefragt wird;
• eine Anti-Malware-Lösung (wie z.B. „Kaspersky Internet Security for Android“) auf allen mobilen Geräten zu installieren und das Betriebssystem regelmäßig zu aktualisieren;
• Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden;
• beim Besuch von Webseiten Vorsicht walten zu lassen – verdächtige Objekte sind meist nicht nur verdächtig.