Die Experten von
Kaspersky Lab haben eine modifizierte Version des Banking-Trojaners "Gugi" entdeckt, der die neuen Sicherheitsfunktionen von Android 6 alias "Marshmallow" zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann. Der Trojaner zwingt Nutzer dazu, ihm Rechte einzuräumen, damit er Apps überlagern, SMS-Nachrichten verschicken und lesen oder Anrufe tätigen kann.
Das primäre Ziel des Gugi-Trojaners sollen Zugangsdaten für mobiles Banking und Kreditkartendetails sein. Diese sollen durch Überlagern einer eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden können.
Das Android-6-Betriebssystem mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde Ende des Jahres 2015 vorgestellt. Auf "Marshmallow" benötigen Apps unter anderem eine Einwilligung der Nutzer, um andere Apps überlagern zu können und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die von Kaspersky Lab entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.
Falls der Trojaner nicht alle eingeforderten Rechte erhält, soll er unter Umständen das infizierte Gerät gänzlich blockieren. Falls dies passiert, kann der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Dies kann jedoch weiter erschwert werden, falls der Trojaner bereits "Trojan Device Administration"-Rechte erhalten hat.
Der Gugi-Trojaner verbreitet sich über Social-Engineering und die Nutzung durch Cyberkriminelle wächst stetig: Zwischen April und Anfang August 2016 soll die Anzahl der Opfer um das Zehnfache gestiegen sein.
(asp)