Bank-Trojaner Gugi umgeht Schutz in Android 6

Fast jedes Update des Betriebssystems Android enthält neue Sicherheitsfeatures, die Cyberkriminellen das Leben schwerer machen sollen. Und selbstverständlich versuchen die Cybergangster ihrerseits jedes Mal, diese neuen Sicherheitsvorkehrungen zu umgehen.

Wir haben eine neue Modifikation des mobilen Bank-Trojaners Trojan-Banker.AndroidOS.Gugi.c gefunden, der zwei neue Sicherheitsfunktionen umgehen kann, die in Android 6 neu eingeführt wurden. Dabei handelt es sich um das berechtigungsbasierte Überdecken von Apps und die Erfordernis dynamischer Berechtigungen für gefährliche In-App-Aktivitäten wie SMS oder Anrufe („permission-based app overlays“ und „dynamic permission requirement for dangerous in-app activities“). Die Modifikation nutzt dabei keine Sicherheitslücken aus, sondern setzt ausschließlich Social Engineering ein.

Erstinfektion

Der Trojaner Gugi wird in erster Linie via SMS-Spam verbreitet, der die Nutzer auf Phishing-Webseiten mit folgendem Text führt: „Lieber Nutzer, Sie haben ein MMS-Foto erhalten! Klicken Sie auf den folgenden Link, um es anzuschauen.“

Bank-Trojaner Gugi umgeht Schutz in Android 6

Durch einen Klick auf den Link wird der Gugi-Trojaner auf das Android-Gerät des Nutzers heruntergeladen.

Umgehen der Sicherheitsfunktionen

Um die Nutzer noch besser vor Phishing- und Ransomware-Angriffen zu schützen, wurde in Android 6 die Anforderung an Apps eingeführt, um Erlaubnis zu fragen, wenn sie andere Apps mit ihren Fenstern beziehungsweise Ansichten überdecken wollen. In früheren Versionen des Betriebssystems konnten Apps automatisch von anderen Anwendungen überlagert werden.

Das ultimative Ziel des Trojaners besteht darin, Online-Banking-Apps mit Phishing-Fenstern zu überdecken, um so die Zugangsdaten der Nutzer zum mobilen Banking zu stehlen. Er überdeckt zudem die App des Google Play Store, um Kreditkartendaten zu stehlen.

Die Modifikation von Trojan-Banker.AndroidOS.Gugi.c erhält die Berechtigung, andere Apps zu überdecken, indem sie die Nutzer dazu bringt, ihr diese Erlaubnis zu erteilen. Daraufhin nutzt sie diese Erlaubnis, um den Bildschirm zu sperren, während sie noch gefährlichere Zugriffsrechte anfordert.

Das erste, was dem Nutzer eines infizierten Gerätes angezeigt wird, ist ein Fenster mit dem Text „Die Anwendung benötigt zusätzliche Rechte für die Arbeit mit Grafiken und Fenstern“ sowie ein Button mit der Aufschrift „Erteilen“.

Bank-Trojaner Gugi umgeht Schutz in Android 6

Nachdem er auf diesen Button geklickt hat, wird dem Nutzer ein Dialogfenster präsentiert, das das Zeichnen über andere Apps autorisiert („drawing over other apps“).

Bank-Trojaner Gugi umgeht Schutz in Android 6

Systemanfrage von Trojan-Banker.AndroidOS.Gugi.c für die Erlaubnis, andere Apps zu überdecken

Doch sobald der Nutzer Gugi diese Berechtigung erteilt hat, blockiert der Trojaner das Gerät und überdeckt alle anderen Fenster beziehungsweise Dialoge mit seinem eigenen Fenster.

Bank-Trojaner Gugi umgeht Schutz in Android 6

Fenster von Trojan-Banker.AndroidOS.Gugi.c, das ein infiziertes Gerät blockiert, bis der Schädling alle angeforderten Rechte erhalten hat

Dem Nutzer wird keine Alternative präsentiert, denn das Fenster enthält nur den Button „Aktivieren“. Klickt der User auf diesen Button, erhält er eine lange Folge von Anfragen nach all den Rechten, die der Trojaner benötigt. Der User kann nicht zurück ins Hauptmenü wechseln, bevor er nicht allem zugestimmt hat.

Nach dem ersten Klick auf den Button fragt der Trojaner beispielsweise nach den Rechten des Geräteadministrators. Die benötigt er zur Selbstverteidigung, denn wenn der Schädling über diese Rechte verfügt, wird es wesentlich schwieriger für den Nutzer, ihn zu deinstallieren.

Bank-Trojaner Gugi umgeht Schutz in Android 6

Nachdem er erfolgreich zum Geräteadministrator geworden ist, produziert der Trojaner die nächste Anfrage. Dieses Mal erfragt er die Erlaubnis, SMS zu senden und zu lesen und Anrufe zu tätigen.

Interessant ist, dass in Android 6 dynamische Anfragefunktionen als neues Sicherheitsfeature eingeführt wurden.

In früheren Versionen des Betriebssystems wurden App-Berechtigungen nur bei der Installation angezeigt. Doch beginnend mit Android 6 fragt das System den Nutzer nach der Erlaubnis, gefährliche Aktionen wie etwa Anrufe oder das Senden von SMS durchzuführen, wenn erstmals der Versuch dazu unternommen wird. Oder das OS erlaubt Apps zu jeder anderen Zeit, solche Berechtigungen anzufragen – wie es der modifizierte Trojaner Gugi tut.

Bank-Trojaner Gugi umgeht Schutz in Android 6

System-Anfrage nach dynamischer Berechtigung

Der Trojaner fragt den Nutzer so lange nach jeder einzelnen Erlaubnis, bis dieser zustimmt. Sollte der Anwender eine Anfrage ablehnen, geben die folgenden Anfragen die Möglichkeit, die Anfrage zu schließen. Erhält der Trojaner nicht alle Berechtigungen, die er will, so blockiert er das infizierte Gerät vollständig. In einem solchen Fall bleibt dem Nutzer als einzige Möglichkeit, das Gerät im sicheren Modus neu zu booten und zu versuchen, den Trojaner zu deinstallieren.

Bank-Trojaner Gugi umgeht Schutz in Android 6

Wiederholte Systemanfragen nach dynamischer Berechtigung

Ein Standard-Banktrojaner

Abgesehen von seiner Fähigkeit, die Sicherheitsfeatures in Android 6 zu umgehen, und abgesehen von der Verwendung des Websocket-Protokolls ist Gugi ein typischer Bank-Trojaner. Er überlagert Anwendungen mit Phishing-Fenstern, um auf diese Weise Zugangsdaten für das mobile Banking oder Kreditkartendetails zu stehlen. Er stiehlt ebenfalls SMS, Kontakte, macht USSD-Anfragen und ist in der Lage, auf Befehl vom Command-and-Control-Server SMS zu versenden.

Die Familie Trojan-Banker.AndroidOS.Gugi ist seit Dezember 2015 bekannt, die Modifikation Trojan-Banker.AndroidOS.Gugi.c wurde erstmals im Juni 2016 entdeckt.

Opferprofil

Der Trojaner Gugi greift in erster Linie Nutzer in Russland an: Aktuell befinden sich mehr als 93 Prozent der angegriffenen Nutzer in diesem Land. Derzeit befindet sich Gugi auf dem aufsteigenden Ast – in der ersten Augusthälfte 2016 gab es zehn Mal mehr Opfer als noch im April 2016.

gugi_de_8

Zahl der von Trojan-Banker.AndroidOS.Gugi angegriffenen Nutzer, Dezember 2015 bis August 2016

In Kürze veröffentlicht Kaspersky Lab einen detaillierten Bericht über die Malware-Familie Trojan-Banker.AndroidOS.Gugi, über ihre Funktionalität und die Verwendung des Websocket-Protokolls.

Alle Produkte von Kaspersky Lab wehren alle Modifikationen der Schadprogrammfamilie Trojan-Banker.AndroidOS.Gugi ab.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.