Aktuelle Geräte betroffen

Gefinkelter Trojaner sperrt Android-Handys

09.09.2016

Schadsoftware kann auch Apps überlagern, SMS verschicken oder Anrufe tätigen.

Zur Vollversion des Artikels
© Getty Images
Zur Vollversion des Artikels

Schlechte Nachricht für Nutzer eines modernen Android-Smartphones: Die Sicherheitsexperten von Kaspersky Lab haben eine modifizierte Version des Banking-Trojaners ‚Gugi‘ entdeckt, der die neuen Sicherheitsfunktionen von Android 6.0 „Marshmallow“ zum Blockieren von Phishing und Ransomware-Angriffen umgehen kann. Der modifizierte Trojaner zwingt Nutzer dazu, ihm Rechte einzuräumen, damit er Apps überlagern (Display Overlay), SMS-Nachrichten verschicken und lesen oder Anrufe tätigen kann. Da das neue Android 7.0 "Nougat" noch für fast keine Geräte verfügbar ist, sind von der neuen Angriffswelle vor allem Nutzer mit aktuellen Smartphones und Tablets, die mit dem Google-Betriebssystem laufen, betroffen.

Neue Sicherheitsfunktionen überlistet

Das Ziel des Gugi-Trojaners seien Zugangsdaten für mobiles Banking und Kreditkartendetails, die durch Überlagern der eigentlichen Banking-App mit einer Phishing-App oder des Google Play Stores entwendet werden, so die Experten. Das Android-6-Betriebssystem mit neuen Sicherheitsfunktionen, die solche Angriffe blockieren sollen, wurde Ende des Jahres 2015 vorgestellt. Unter anderem benötigen Apps nun eine Einwilligung der Nutzer, um andere Apps überlagern zu können, und Zustimmung, wenn sie das erste Mal eine SMS-Nachricht senden oder Anrufe tätigen möchten. Die nun von Kaspersky entdeckte modifizierte Version des Gugi-Trojaners kann diese Funktionen umgehen.

Verbreitungswege

Die Gugi-Infizierung erfolgt zunächst durch Social-Engineering, meist mit der Aufforderung an den Nutzer, einen schadhaften Link in einer Spam-SMS anzuklicken. Sobald der Trojaner auf dem Gerät installiert worden ist, holt er sich die Zugangsrechte, die er benötigt. Anschließend erscheint auf dem Display eine Nachricht, die die Benötigung zusätzlicher Rechte anfordert, , der der Nutzer nur zustimmen kann. Wenn der Nutzer dies tut, wird er gefragt, ob er der App erlauben möchte, andere Apps zu überlagern. Nachdem die Erlaubnis eingeholt wurde, blockiert der Trojaner den Bildschirm mit der Frage nach „Trojan Device Administration“-Rechten und frägt um Erlaubnis, SMS-Nachrichten senden und anzeigen sowie Anrufe tätigen zu dürfen.

Gerät wird gänzlich gesperrt

Falls der Trojaner nicht alle eingeforderten Rechte erhält, blockiert er das infizierte Gerät gänzlich. Falls dies passiert, kann der Nutzer nur noch versuchen, das Gerät im Sicherheitsmodus zu rebooten und den Trojaner zu deinstallieren. Das wird jedoch  weiter erschwert, sollte der Trojaner bereits „Trojan Device Administration“-Rechte erhalten hat.

Wie kann man sich schützen?

Um sich selbst vor Gugi und weiteren mobilen Malware-Bedrohung zu schützen, empfiehlt Kaspersky allen Android-Nutzern:

  • nicht automatisch Rechte und Genehmigungen an anfragende Apps zu vergeben – man sollte sich Gedanken darüber machen, wofür und warum angefragt wird;
  • eine Anti-Malware-Lösung auf allen mobilen Geräten zu installieren und das Betriebssystem regelmäßig zu aktualisieren;
  • Klicks auf Links in unbekannten oder unerwarteten Nachrichten zu vermeiden;
  • beim Besuch von Webseiten Vorsicht walten zu lassen: verdächtige Objekte sind meist nicht nur verdächtig.
Zur Vollversion des Artikels
Weitere Artikel