Mobile Security

Android-Trojaner Gustuff hat Banking und Messaging-Apps im Visier

Android-Trojaner Gustuff hat Banking und Messaging-Apps im Visier
Der neue Trojaner Gustuff verkörpert eine neue Qualität mit zahlreichen fortschrittlichen Funktionen.

Der Android-Trojaner Gustuff kann Anmeldedaten einfach stehlen und Transaktionen automatisch ausführen. Seit seinem Erscheinen werden die Funktionen stetig aktualisiert und immer ausgeklügelter. Betroffen sind unter anderem Anwendungen von Banken wie Bank of America und Bank of Scotland.

Group-IB entdeckte neuen Trojaner

Wie zdnet.de unter Berufung auf die Cybersicherheitsfirma Group-IB berichtete, ist dieser Trojaner schon seit fast einem Jahr im Umlauf und wurde in der Zeit mehrfach aktualisiert und um neue Funktionen und Ziele erweitert. Einer Analyse der Forscher zufolge ist die Gustuff genannte Malware in der Lage, Anmeldedaten von mehr als 100 Banking-Apps und 32 Kryptowährungs-Apps zu stehlen und automatisch Transaktionen auszuführen.

Zu seinen Zielen gehören unter anderem bekannte Banken wie:

  • Bank of America
  • Bank of Scotland
  • J.P. Morgan
  • Wells Fargo
  • Capital One

Außerdem werden virtuelle Geldbörsen angegriffen, darunter:

  • BitPay
  • Cryptopay
  • Coinbase
  • Bitcoin Wallet

Die Hintermänner haben es aber auch auf Anmeldedaten von Bezahl- und sogar Messaging-Apps abgesehen wie:

  • PayPal
  • Western Union
  • eBay
  • Skype
  • WhatsApp

Wie funktioniert Gustuff?

Grundsätzlich funktioniert Gustuff wie nahezu jeder andere Banking-Trojaner für Android. Per Social Engineering versucht die Malware, den Zugriff auf die Bedienungshilfen zu erlangen, mit denen sich Bedienungsvorgänge automatisieren und Klicks im Namen des Nutzers ausführen lassen. Darüber sichern sich viele Schadprogramme zudem Administratorrechte. Anschließend zeigen sie gefälschte Anmelde-Dialoge als Overlay über den eigentlichen Banking- oder Bezahl-Apps an, um Nutzernamen und Passwörter abzugreifen.

In einem wichtigen Punkt unterscheidet sich Gustuff jedoch von anderen Banking-Trojanern. Laut Rustam Mirkasymov, Head of Dynamic Analysis of Malware bei Group-IB, nutzt Gustuff die Bedienungshilfen auch, um einen Automatic Transfer Service (ATS) auszuführen. Das bedeutet, dass die Malware Apps öffnen, die Anmeldedaten und Transaktionsdetails eintragen und sogar die Überweisung selbstständig bestätigen kann. Die gestohlenen Anmeldedaten müssen also das Gerät des Nutzers nicht verlassen und werden stattdessen benutzt, um direkt Geld auf ein Konto der Angreifer zu überweisen.

Ein fortschrittlicher Banking-Trojaner

Mirkasymov zufolge ist Gustuff fortschrittlicher als andere Banking-Trojaner für Android wie Anubis und RedAlert. Bisher sei Gustuff aber noch nicht so weit verbreitet. Vor allem habe er es noch nicht in Googles Play Store geschafft. Derzeit setzten die Hintermänner zur Verbreitung auf SMS-Spam, wobei die unerwünschten Nachrichten Links zu einer Installationsdatei für den Trojaner enthielten.

Angeboten wird der Gustuff vor allem in russischen Untergrundforen. Dort werden auch weitere Funktionen beworben. Die Malware soll unter anderem in der Lage sein, Google Play Protect abzuschalten und so einer Erkennung zu entgehen. Dies soll zumindest in 70 Prozent der Fälle funktionieren. Außerdem soll Gustuff Benachrichtigungen beliebiger Apps nachahmen, um dann eine Website oder App seiner Wahl zu öffnen – beispielsweise eine Phishing-Website, um Anmeldedaten für eine bestimmte Bank zu stehlen, oder eine App zu öffnen, über die dann automatisiert eine Transaktion ausgeführt wird.

Aber auch Daten wie Dokumente, Fotos und Videos werden von Gustuff ausgelesen. Um einer Entdeckung zu entgehen beziehungsweise alle Spuren von kriminellen Aktivitäten zu verwischen, verspricht der Entwickler, dass der Trojaner ein Gerät auf die Werkseinstellungen zurücksetzen kann.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben