Gugi: der Banking-Trojaner überlistet neue Sicherheitsfunktionen von Android

Kaspersky hat eine Version des Banking-Trojaners ‚Gugi‘ entdeckt, die die neuen Sicherheitsfunktionen von Android 6 zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann.

Das Ziel von Gugi sind Zugangsdaten für mobiles Banking und Kreditkartendetails. Dazu gelangt er durch das Überlagern der eigentlichen Banking-App mit einer Phishing-App. Eigentlich sollte das ab dem Android-Betriebssystem Marshmallow verhindert werden, da es solche Angriffe blockiert, indem Apps eine Einwilligung des Nutzers benötigen, um andere Apps überlagern zu können. Doch die modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

Gugi fordert umfassende Benutzerrechte und wenn er sie nicht bekommt, blockiert er das Gerät (Foto: Shutterstock[designer491])

Abgefischt

Die Infizierung erfolgt meist durch eine Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die benötigten Zugangsrechte. Danach bekommt der User eine Nachricht zu sehen, die zusätzliche Rechte anfordert. Dieser kann der Nutzer nur zustimmen, es gibt keine Alternative. Doch wenn er dies tut, wird er gefragt, ob er der App erlauben möchte, andere Apps zu überlagern. Danach blockiert der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und frägt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

Das Dumme an der Sache: Sollte der Trojaner nicht alle eingeforderten Rechte bekommen, blockiert er das infizierte Gerät gänzlich. Dann kann der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Das wird jedoch  weiter erschwert, sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten haben.

Vorsicht ist besser als Nachsicht

Kaspersky empfiehlt daher nicht automatisch Rechte an anfragende Apps zu vergeben. Oder eine Anti-Malware-Lösung wie Kaspersky Internet Security zu installieren und nicht auf unbekannte Nachrichten zu tippen.

Quelle: Kaspersky