Bei Kaspersky Lab hat man eine modifizierte Version des Banking-Trojaners Gugi entdeckt, der die neuen Sicherheitsfunktionen von Android 6 zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann. Der modifizierte Trojaner zwingt Nutzer dazu, ihm Rechte einzuräumen, damit er Apps überlagern (Display Overlay), SMS-Nachrichten verschicken und lesen oder Anrufe tätigen kann. Gugi verbreitet sich per Social-Engineering. Die Nutzung des Trojaners durch Cyberkriminelle wächst stetig: zwischen April und Anfang August 2016 stieg die Anzahl der Opfer um das Zehnfache. Die Trojaner-Familie ,Trojan-Banker.AndroidOS.Gugi‘ ist seit Dezember 2015 bekannt, wobei die modifizierte Form ,Trojan-Banker.AndroidOS.Gugi.c‘ erst im Juni 2016 entdeckt worden ist.

Mobile Banking und Kreditkarten im Visier

Ziel des Gugi-Trojaners sind Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden. Das neue Android-6-Betriebssystem mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde Ende des Jahres 2015 vorgestellt. Unter anderem benötigen Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die von Kaspersky Lab entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

Gugi: Infizierung und Aktivitäten

Die Gugi-Infizierung erfolgt zunächst durch Social-Engineering, meist mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die Zugangsrechte, die er benötigt.

Anschließend erscheint auf dem Display eine Nachricht, die die Benötigung zusätzlicher Rechte anfordert. Ihr kann der Nutzer nur zustimmen. Wenn der Nutzer dies tut, wird er gefragt, ob er der App erlauben möchte, andere Apps zu überlagern. Nachdem die Erlaubnis eingeholt wurde, blockiert der Trojaner den Bildschirm mit der Frage nach "Trojan Device Administration"-Rechten und frägt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

Falls der Trojaner nicht alle eingeforderten Rechte erhält, blockiert er das infizierte Gerät gänzlich. Falls dies passiert, kann der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Das wird jedoch weiter erschwert, sollte der Trojaner bereits "Trojan Device Administration"-Rechte erhalten hat.

Gugi ist ein typischer Banking-Trojaner: er stiehlt Finanzzugangsdaten, SMS-Nachrichten und Kontakte, stellt USSD-Anfragen (Unstructured Supplementary Service Data) und verschickt SMS-Nachrichten auf Anweisung des Command-Servers.

Sicherheitstipps von Kaspersky Lab

Um sich selbst vor Gugi und weiteren mobilen Malware-Bedrohung zu schützen, empfiehlt Kaspersky Lab Android-Nutzern:

• nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben - man sollte sich Gedanken darüber machen, wofür und warum angefragt wird;

• Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden;

• beim Besuch von Webseiten Vorsicht walten zu lassen: verdächtige Objekte sind meist nicht nur verdächtig.

Und selbstverständlich empfiehlt das Cybersicherheitsunternehmen natürlich die Verwendung einer Anti-Malware-Lösung, die man auch selbst im Programm hat.