Banking-Trojaner Gugi umgeht Overlay-Sperre in Android Marshmallow
In Russland grassiert momentan ein fieser Trojaner, der Opfern das Gerät sperrt, falls diese ihm nicht erlauben, per Overlay Bezahldaten abzuschnorcheln.
Diese Anfrage sollte einem zu Denken geben...
(Bild: Kaspersky Lab)
- Fabian A. Scherschel
Seit Android 6 (Marshmallow) müssen Apps fragen, wenn sie Teile der eigenen App über eine andere App legen möchten – ein sogenanntes Overlay. Das wurde explizit mit dem Ziel eingeführt, Schad-Apps zu stoppen, die eigene UI-Elemente über legitime Apps legen und so etwa Banking-Daten ihrer Opfer abfischen. Kaspersky hat jetzt eine neue Version des Banking-Trojaners Gugi entdeckt, der diesen Schutz umgeht – in dem er sein Opfer dazu zwingt, ihm die entsprechende Erlaubnis zu erteilen.
Pistole auf der Brust
Hat Gugi ein Gerät infiziert, fragt der Trojaner nach den Overlay-Rechten und will ebenfalls SMS-Nachrichten senden und die Telefonfunktion nutzen dürfen. Weigert sich das Opfer, die Rechte zu erteilen, sperrt Gugi das Gerät komplett. Sind die Rechte erteilt, kopiert der Trojaner im Hintergrund Bank- und Kreditkartendaten, zum Beispiel beim Kauf von Apps über Google Play oder bei der Nutzung von Online-Banking-Apps.
Eine ältere Version des Trojaners, der hauptsächlich in Russland unterwegs ist, kursiert seit Dezember. Die neue Version war den Sicherheitsforschern im Juni aufgefallen. In letzter Zeit steigt die Anzahl der Opfer allerdings rapide an, so Kaspersky. Die bösartige App verbreitet sich hauptsächlich über Phishing-SMS, welche die Opfer per getarntem Link dazu verleiten, Gugi zu installieren.
Hinweis in eigener Sache:
Für alle, die sich in der Unternehmens-IT mit der Abwehr von Android-Schadcode herumschlagen müssen, gibt es am 15. September um 11:00 Uhr das heise-Security-Webinar "Smartphone-Trojaner erkennen und abwehren". Teilnehmer erhalten dort handfeste Hilfe im Kampf gegen mobile Schädlinge. (fab)
