Gugi: Banking-Trojaner überlistet Sicherheitsfeatures von Android 6

Experten von Kaspersky Lab haben eine modifizierte Version des Banking-Trojaners „Gugi“ entdeckt. Er ist einem Blogbeitrag der Sicherheitsexperten zufolge in der Lage, zwei neuen Sicherheitsfunktionen von Android 6 zum Blockieren von Phishing und Ransomware-Angriffen zu umgehen. Die Zahl der Opfer stieg laut Kaspersky zwischen April und Anfang August 2016 um das Zehnfache.

Die Trojaner-Familie „Trojan-Banker.AndroidOS.Gugi“ ist seit Dezember 2015 bekannt, wobei die modifizierte Form „Trojan-Banker.AndroidOS.Gugi.c“ erst im Juni 2016 entdeckt worden ist.

Ziel von Gugi sind Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden. Android 6 Marshmallow mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde im Herbst letzten Jahres vorgestellt. Unter anderem benötigen Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die von Kaspersky Lab entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

Die Infizierung selbst erfolgt ausschließlich durch Social-Engineering, in der Regel mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken beispielsweise um ein MMS-Foto anzusehen. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die Zugangsrechte, die er benötigt. Anschließend erscheint auf dem Display eine Nachricht, dass zusätzliche Rechte erforderlich sind. Der Nutzer hat nur die Möglichkeit zuzustimmen. Hat er zugestimmt, wird er gefragt, ob er der App erlauben will, andere Apps zu überlagern. Nachdem die Erlaubnis eingeholt wurde, blockiert der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und fragt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

Erhält der Trojaner nicht alle von ihm geforderten Rechte, blockiert er das infizierte Gerät gänzlich. In diesem Fall hat der Nutzer nur noch die Möglichkeit zu versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten hat, wird das allerdings weiter erschwert.

„Betriebssysteme wie Android stellen regelmäßig Updates zur Verbesserung ihrer Sicherheitsfunktionen zur Verfügung“, so Roman Unucheck, Senior Malware-Analyst bei Kaspersky Lab. „Gleichzeitig sind Cyberkriminelle schonungslos bei ihren Versuchen, die Sicherheitsfunktionen zu umgehen. Mit der Entdeckung von Gugi können wir diese neue Gefahr neutralisieren und Menschen helfen, ihre Geräte und Daten zu schützen.“

Kaspersky Lab empfiehlt Android-Nutzern Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden und nicht nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben. Anwender sollten sich Gedanken darüber machen, wofür und warum angefragt wird. Außerdem rät das Unternehmen zur Installation einer aktuellen Anti-Malware-Lösung respektive eine bestehende Anwendung entsprechend zu aktualisieren.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de