Dieser fiese Trojaner sperrt Android-Handys

Keine guten Nachricht für Nutzer eines Android-Smartphones! Unser Kooperationspartner Kaspersky Lab haben eine modifizierte Version des sogenannten Banking-Trojaners ‚Gugi‘ entdeckt, der die neuen Sicherheitsfunktionen von Android 6.0 „Marshmallow“ zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann.

Der modifizierte Trojaner zwingt Nutzer dazu, ihm Rechte einzuräumen, damit er Apps überlagern (Display Overlay), SMS-Nachrichten verschicken und lesen oder Anrufe tätigen kann. Gugi verbreitet sich über Social-Engineering und die Nutzung durch Cyberkriminelle wächst stetig: zwischen April und Anfang August 2016 stieg die Anzahl der Opfer um das Zehnfache.

Das Ziel des Gugi-Trojaners sind Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden. Das neue Android-6-Betriebssystem mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde Ende des Jahres 2015 vorgestellt. Unter anderem benötigen Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die von Kaspersky Lab entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

Gugi: Infizierung und Aktivitäten

Die Gugi-Infizierung erfolgt zunächst durch Social-Engineering, meist mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die Zugangsrechte, die er benötigt. Anschließend erscheint auf dem Display eine Nachricht, die die Benötigung zusätzlicher Rechte anfordert, , der der Nutzer nur zustimmen kann. Wenn der Nutzer dies tut, wird er gefragt, ob er der App erlauben möchte, andere Apps zu überlagern. Nachdem die Erlaubnis eingeholt wurde, blockiert der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und frägt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

Das Gerät wird gesperrt!

Falls der Trojaner nicht alle eingeforderten Rechte erhält, blockiert er das infizierte Gerät gänzlich. Falls dies passiert, kann der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Das wird jedoch  weiter erschwert, sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten hat.

Gugi ist ein typischer Banking-Trojaner: er stiehlt Finanzzugangsdaten, SMS-Nachrichten und Kontakte, stellt USSD-Anfragen (Unstructured Supplementary Service Data) und verschickt SMS-Nachrichten auf Anweisung des Command-Servers.

„Betriebssysteme wie Android stellen regelmäßig Updates zur Verbesserung ihrer Sicherheitsfunktionen zur Verfügung“, so Roman Unucheck, Senior Malware-Analyst bei Kaspersky Lab. „Gleichzeitig sind Cyberkriminelle schonungslos bei ihren Versuchen, die Sicherheitsfunktionen zu umgehen. Mit der Entdeckung von Gugi können wir diese neue Gefahr neutralisieren und Menschen helfen, ihre Geräte und Daten zu schützen.“

So kannst du dich schützen!

Um sich selbst vor Gugi und weiteren mobilen Malware-Bedrohung zu schützen, empfiehlt Kaspersky Lab Android-Nutzern:

• nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben – man sollte sich Gedanken darüber machen, wofür und warum angefragt wird;
• eine Anti-Malware-Lösung wie Kaspersky Internet Security for Android auf allen mobilen Geräten zu installieren und das Betriebssystem regelmäßig zu aktualisieren;
• Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden;
• beim Besuch von Webseiten Vorsicht walten zu lassen: verdächtige Objekte sind meist nicht nur verdächtig.

Die Trojaner-Familie ,Trojan-Banker.AndroidOS.Gugi‘ ist seit Dezember 2015 bekannt, wobei die modifizierte Form ,Trojan-Banker.AndroidOS.Gugi.c‘ erst im Juni 2016 entdeckt worden ist. Die Produkte von Kaspersky Lab können sämtliche Formen der Gugi-Trojaner-Malware erkennen.

Ein Blogbeitrag zum Thema Gugi findet sich unter https://de.securelist.com/blog/mobile/71918/banking-trojan-gugi-evolves-to-bypass-android-6-protection