Firmenlink

ESET

 

Kaspersky: Banking-Trojaner Ginp stiehlt Daten mit gefälschten SMS

Der Banking-Trojaner Ginp stiehlt laut Sicherheitsforschern sensible Finanzinformationen seiner Opfer über gefälschte SMS. Die Schadsoftware zielt speziell auf Android-Geräte ab.

von Claudia Maag 17.02.2020

Sicherheitsforscher von Kaspersky haben eine neue Version des erstmals im Jahr 2019 entdeckten Ginp-Banking-Trojaners identifiziert. Die Schadsoftware ist speziell auf Android ausgerichtet, wie Kaspersky in einem Blog-Eintrag (Englisch) schreibt. 

Mobile-Banking-Trojaner, die ein Smartphone infiltriert haben, versuchen in der Regel, sich Zugang zu SMS-Nachrichten zu verschaffen. Dies, um einmalige Bestätigungscodes von Banken abzufangen. Haben die Cyberkriminellen einen solchen Code, können sie eine Zahlung vornehmen oder Gelder abschöpfen, ohne dass das Opfer dies bemerkt.

Was kann Ginp?

Der Trojaner zeigt unter dem Deckmantel von Google Play ein Formular an, in das man seine Kartendetails eintragen soll Der Trojaner zeigt unter dem Deckmantel von Google Play ein Formular an, in das man seine Kartendetails eintragen soll Zoom Die ursprüngliche Version von Ginp entsprach laut Sicherheitsexperten einem standardmässigen Banking-Trojaner. Er schickte alle Kontakte des befallenen Smartphones an den Malware-Erschaffer, fing Textnachrichten ab, stahl Bankkartendaten und überlagerte Bankanwendungen mit Phishing-Fenstern.

Doch Ginp wurde weiterentwickelt. Die Malware wurde befähigt, mit Push-Benachrichtigungen und Pop-up-Meldungen das Opfer dazu zu bringen, bestimmte Anwendungen zu öffnen und zwar solche, welche die Entwickler mit Phishing-Fenstern überlagern konnten. Laut Kaspersky sind die Nachrichten geschickt formuliert (auf Spanisch). Ein Nutzer erhält vermeintlich von Google Play eine Nachricht: «Wir vermissen Ihre Kredit- oder Debitkartendaten. Bitte verwenden Sie die Play-Store-App, um sie sicher hinzuzufügen.»

Öffnet ein Benutzer anschliessend die Play-Store-App, sieht er, wie erwartet, ein Formular zur Eingabe der Kartendaten. Es ist jedoch der Trojaner, der das Formular anzeigt und nicht Google Play.

«Ginp ist einfach, aber effizient und effektiv. Die Geschwindigkeit, mit der sich das Schadprogramm weiterentwickelt und neue Fähigkeiten erwirbt, ist besorgniserregend. Während dieser Angriff bisher nur in Spanien zu beobachten war, befürchten wir aufgrund unserer früheren Erfahrungen, dass dieser Trojaner schon bald auch in weiteren Ländern aktiv sein könnte. Android-Nutzer müssen definitiv wachsam sein», schätzt Alexander Eremin, Sicherheitsexperte bei Kaspersky, die neue Version ein.

Überzeugend gefälschte SMS-Nachrichten

Eine Nachricht – angeblich von einer Bank – fordert den Benutzer auf, eine Zahlung in der mobilen Anwendung zu bestätigen Eine Nachricht – angeblich von einer Bank – fordert den Benutzer auf, eine Zahlung in der mobilen Anwendung zu bestätigen Zoom© Kaspersky

Anfang Februar entdeckte das Kaspersky-Botnet-Angriffsverfolgungssystem eine weitere neue Funktion in Ginp: die Möglichkeit, gefälschte eingehende Texte zu erstellen. Der Nutzer soll noch immer dazu gebracht werden, eine App zu öffnen. Neu ist, dass der Trojaner SMS-Nachrichten «mit jedem beliebigen Text und scheinbar von jedem Absender» erzeugen kann, so Kaspersky.

Möchte ein Benutzer nachsehen, was mit seinem Konto passiert und öffnet die App, zeigt der Trojaner ein gefälschtes Formular zur Eingabe von Kartendaten an.

Um das Risiko zu minimieren, empfiehlt Kaspersky, Apps nur aus dem offziellen Google Play Store herunterzuladen, auf die von Apps angeforderten Zugriffsrechte zu achten (wie z.B. Zugriff auf SMS) und eine zuverlässige Antivirenlösung zu nutzen.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.