Banking-Trojaner Ginp stiehlt Bankdaten mit gefälschten SMS

Auf der Suche nach Ihren Bankkartendetails überlagert der Trojaner Apps mit Phishing-Seiten und verwendet Fake-Benachrichtigungen, um Sie zum Öffnen der Apps zu bewegen.

Viele mobilen Banking-Trojaner versuchen auf SMS-Nachrichten zuzugreifen nachdem sie sich erfolgreich ihren Weg auf ein Smartphone gebahnt haben. Sie tun dies, um einmalige Bestätigungscodes von Banken abzufangen – denn mit einem solchen Code können die Malware-Besitzer ohne das Wissen des Opfers eine Zahlung in Auftrag geben oder Geld abheben. Gleichzeitig verwenden viele solcher Handy-Trojaner Textnachrichten, um weitere Geräte zu infizieren, indem sie den Kontakten des Opfers einen schädlichen Download-Link zukommen lassen.

Einige bösartige Apps sind kreativer und verwenden den Zugriff auf Ihre SMS, um beispielsweise anstößige Textnachrichten in Ihrem Namen zu verbreiten. Die Ginp-Malware, die wir im letzten Herbst zum ersten Mal entdeckt haben, verfügt darüber hinaus über eine neuartige Funktion zum Einblenden von gefälschten Textnachrichten innerhalb der Inbox regulärer SMS-Apps.

Wozu ist der Ginp-Trojaner fähig?

Anfangs verfügte Ginp über für einen Banking-Trojaner relativ normale Fähigkeiten. Er leitete die Kontakte seiner Opfer an dessen Schöpfer weiter, fing Textnachrichten ab, stahl Bankkartendatendetails und blendete Bildschirm-Overlays verschiedener Kreditinstitute ein.

Für Letzteres machte sich der Trojaner eine Reihe von Android-Tools zur Barrierefreiheit für Benutzer mit Sehbehinderung zunutze. Das ist nicht ungewöhnlich: Banking-Trojaner und viele andere Arten von Malware nutzen diese Funktionen, da sie auf diese Weise visuellen Zugriff auf alle Elemente des Bildschirms erhalten und sogar auf Schaltflächen oder Links zugreifen können. Tatsächlich können sie auf diese Weise jedoch die vollständige Kontrolle über Ihr Smartphone übernehmen.

Den Entwicklern von Ginps schien dies nicht auszureichen, weshalb sie ihr Arsenal wiederholt mit erfinderischeren Fähigkeiten aufrüsteten. Beispielsweise verwendete die Malware Push-Benachrichtigungen und Pop-up-Nachrichten, um die Opfer dazu zu bringen, bestimmte Apps zu öffnen – solche, die mit Phishing-Fenstern überlagert werden können. Die Benachrichtigungen sind geschickt formuliert, um den Benutzer zur Eingabe seiner Bankkartendatendetails zu verleiten. Im Anschluss folgt ein Beispiel (auf Spanisch):

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.

(„Google Pay: Ihre Kredit- oder Debitkartendaten fehlen. Bitte nutzen Sie die Play Store App, um diese sicher hinzuzufügen.“)

In der vermeintlichen Play Store App wird Benutzern dann das erwartete Formular zur Eingabe ihrer Kartendetails angezeigt. Es ist jedoch der Trojaner, der ihnen das scheinbar legitime Formular anzeigt, nicht Google Play selbst – und, wie Sie wahrscheinlich bereits vermutet haben, werden die eingegebenen Informationen umgehend an die Cyberkriminellen übermittelt.

Ein gefälschtes - und leider sehr überzeugendes - Fenster zur Eingabe von Bankkartendaten, das in der scheinbaren Play Store-App angezeigt wird

Ein gefälschtes – und leider sehr überzeugendes – Fenster zur Eingabe von Bankkartendatendetails, das in der scheinbaren Play Store App angezeigt wird.

 

Ginp geht allerdings weit über den Play Store hinaus und zeigt zudem scheinbare Benachrichtigungen von Banking-Apps an:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.

(„B**A: Auf Ihrem B**A-Konto wurden verdächtige Aktivitäten festgestellt. Bitte überprüfen Sie die letzten Transaktionen und rufen Sie 91 *** ** 26 „an.)

Seltsamerweise stellen die Fake-Benachrichtigungen eine echte Telefonnummer zur Kontaktaufnahme mit der Bank bereit. Rufen Sie die Bank also unter der beigefügten Nummer an, wird Ihnen von der Stimme am anderen Ende der Leitung wahrscheinlich bestätigt, dass mit Ihrem Konto alles in Ordnung ist. Werfen Sie jedoch zunächst einen Blick auf die „verdächtigen Transaktionen“, bevor Sie die Bank anrufen, überlagert die Malware die Banking-App mit einem gefälschten Fenster und fordert Sie zur Eingabe Ihrer Kartendetails auf.

Sehr überzeugende Fake-SMS-Nachrichten

Anfang Februar entdeckte unser Botnet Attack Tracking System eine weitere neue Funktion des Trojaners Ginp: das Einblenden von gefälschten Textnachrichten innerhalb der Inbox regulärer SMS-Apps. Auf diese Weise soll der Benutzer, wie zuvor, zum Öffnen einer bestimmten App bewegt werden -, doch mittlerweile ist der Trojaner dazu in der Lage, SMS-Nachrichten mit beliebigen Inhalten zu generieren, die dann unter dem Deckmantel seriöser Anbieter angezeigt werden.

Eine Nachricht, angeblich von einer Bank, die den Benutzer auffordert, eine Zahlung in der Banking-App zu bestätigen

Eine Nachricht, angeblich von einer Bank, die den Benutzer auffordert, eine Zahlung in der Banking-App zu bestätigen

Während Benutzer Push-Benachrichtigungen häufig ignorieren, neigen sie dazu, eingehende SMS-Nachrichten früher oder später zu lesen. Das heißt, die Chancen stehen gut, dass Nutzer der Aufforderung, die App des vermeintlichen Anbieters zu öffnen, tatsächlich nachkommen. Sobald dies geschieht, überlagert der Trojaner das ursprüngliche Fenster jedoch mit einem eigenen Fenster und fordert den Nutzer dazu auf, Kreditkarten- oder Bankkontendetails einzugeben.

So schützen Sie sich vor Ginp

Derzeit hat Ginp hauptsächlich Benutzer in Spanien im Visier, doch aufgrund unserer früheren Erfahrungen befürchten wir, dass dieser Trojaner schon bald auch in weiteren Ländern aktiv sein könnte. Um das Risiko einer Kompromittierung durch Ginp oder andere Banking-Trojaner zu minimieren, empfehlen wir deshalb die folgenden Maßnahmen:

  • Laden Sie Apps nur aus dem offiziellen Google Play Store herunter.
  • Blockieren Sie die Installation von Programmen aus unbekannten Quellen in den Android-Einstellungen.
  • Öffnen Sie keine Links in Textnachrichten, insbesondere wenn die Nachricht in irgendeiner Weise verdächtig erscheint. Wenn ein Freund Ihnen unerwartet einen Link zu einem Foto sendet, anstatt das Bild beispielsweise über eine Messaging- oder Social-Media-App zu senden, sollten Sie skeptisch werden.
  • Achten Sie auf die von Apps angeforderten Zugriffsrechte (sie sollten zum Beispiel niemals nach dem Zugriff auf SMS fragen). Auch auf Tools zur Barrierefreiheit sollten nur die wenigsten Anwendungen zugreifen dürfen.
  • Installieren Sie eine zuverlässige Sicherheitslösung auf Ihrem Telefon. Beispielsweise erkennt Kaspersky Internet Security for AndroidGinp und viele weitere Bedrohungen.
Tipps