{"id":22226,"date":"2020-02-17T14:51:01","date_gmt":"2020-02-17T12:51:01","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=22226"},"modified":"2020-02-18T16:07:00","modified_gmt":"2020-02-18T14:07:00","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ginp-mobile-banking-trojan\/22226\/","title":{"rendered":"Banking-Trojaner Ginp stiehlt Bankdaten mit gef\u00e4lschten SMS"},"content":{"rendered":"

Viele mobilen Banking-Trojaner versuchen auf SMS-Nachrichten zuzugreifen nachdem sie sich erfolgreich ihren Weg auf ein Smartphone gebahnt haben. Sie tun dies, um einmalige Best\u00e4tigungscodes von Banken abzufangen \u2013 denn mit einem solchen Code k\u00f6nnen die Malware-Besitzer ohne das Wissen des Opfers eine Zahlung in Auftrag geben oder Geld abheben. Gleichzeitig verwenden viele solcher Handy-Trojaner Textnachrichten, um weitere Ger\u00e4te zu infizieren, indem sie den Kontakten des Opfers einen sch\u00e4dlichen Download-Link zukommen lassen.<\/p>\n

Einige b\u00f6sartige Apps sind kreativer und verwenden den Zugriff auf Ihre SMS, um beispielsweise anst\u00f6\u00dfige Textnachrichten<\/a> in Ihrem Namen zu verbreiten.\u00a0Die Ginp-Malware, die wir im letzten Herbst zum ersten Mal entdeckt<\/a> haben, verf\u00fcgt dar\u00fcber hinaus \u00fcber eine neuartige Funktion zum Einblenden von gef\u00e4lschten Textnachrichten innerhalb der Inbox regul\u00e4rer SMS-Apps.<\/p>\n

Wozu ist der Ginp-Trojaner f\u00e4hig?<\/h2>\n

Anfangs verf\u00fcgte Ginp \u00fcber f\u00fcr einen Banking-Trojaner relativ normale F\u00e4higkeiten. Er leitete die Kontakte seiner Opfer an dessen Sch\u00f6pfer weiter, fing Textnachrichten ab, stahl Bankkartendatendetails und blendete Bildschirm-Overlays verschiedener Kreditinstitute ein.<\/p>\n

F\u00fcr Letzteres machte sich der Trojaner<\/a> eine Reihe von Android-Tools zur Barrierefreiheit f\u00fcr Benutzer mit Sehbehinderung zunutze. Das ist nicht ungew\u00f6hnlich: Banking-Trojaner und viele andere Arten von Malware nutzen diese Funktionen, da sie auf diese Weise visuellen Zugriff auf alle Elemente des Bildschirms erhalten und sogar auf Schaltfl\u00e4chen oder Links zugreifen k\u00f6nnen. Tats\u00e4chlich k\u00f6nnen sie auf diese Weise jedoch die vollst\u00e4ndige Kontrolle \u00fcber Ihr Smartphone \u00fcbernehmen.<\/p>\n

Den Entwicklern von Ginps schien dies nicht auszureichen, weshalb sie ihr Arsenal wiederholt mit erfinderischeren F\u00e4higkeiten aufr\u00fcsteten. Beispielsweise verwendete die Malware Push-Benachrichtigungen und Pop-up-Nachrichten, um die Opfer dazu zu bringen, bestimmte Apps zu \u00f6ffnen \u2013 solche, die mit Phishing-Fenstern \u00fcberlagert werden k\u00f6nnen. Die Benachrichtigungen sind geschickt formuliert, um den Benutzer zur Eingabe seiner Bankkartendatendetails zu verleiten. Im Anschluss folgt ein Beispiel (auf Spanisch):<\/p>\n

Google Pay: Nos faltan los detalles de su tarjeta de cr\u00e9dito o d\u00e9bito. Utilice Play Store para agregarlos de manera segura.<\/p>\n

(\u201eGoogle Pay: Ihre Kredit- oder Debitkartendaten fehlen. Bitte nutzen Sie die Play Store App, um diese sicher hinzuzuf\u00fcgen.\u201c)<\/p><\/blockquote>\n

In der vermeintlichen Play Store App wird Benutzern dann das erwartete Formular zur Eingabe ihrer Kartendetails angezeigt. Es ist jedoch der Trojaner, der ihnen das scheinbar legitime Formular anzeigt, nicht Google Play selbst \u2013 und, wie Sie wahrscheinlich bereits vermutet haben, werden die eingegebenen Informationen umgehend an die Cyberkriminellen \u00fcbermittelt.<\/p>\n

\"Ein

Ein gef\u00e4lschtes \u2013 und leider sehr \u00fcberzeugendes \u2013 Fenster zur Eingabe von Bankkartendatendetails, das in der scheinbaren Play Store App angezeigt wird.<\/p><\/div>\n

\u00a0<\/p>\n

Ginp geht allerdings weit \u00fcber den Play Store hinaus und zeigt zudem scheinbare Benachrichtigungen von Banking-Apps an:<\/p>\n

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.<\/p>\n

(\u201eB**A: Auf Ihrem B**A-Konto wurden verd\u00e4chtige Aktivit\u00e4ten festgestellt. Bitte \u00fcberpr\u00fcfen Sie die letzten Transaktionen und rufen Sie 91 *** ** 26 \u201ean.)<\/p><\/blockquote>\n

Seltsamerweise stellen die Fake-Benachrichtigungen eine echte Telefonnummer zur Kontaktaufnahme mit der Bank bereit. Rufen Sie die Bank also unter der beigef\u00fcgten Nummer an, wird Ihnen von der Stimme am anderen Ende der Leitung wahrscheinlich best\u00e4tigt, dass mit Ihrem Konto alles in Ordnung ist. Werfen Sie jedoch zun\u00e4chst einen Blick auf die \u201everd\u00e4chtigen Transaktionen\u201c, bevor Sie die Bank anrufen, \u00fcberlagert die Malware die Banking-App mit einem gef\u00e4lschten Fenster und fordert Sie zur Eingabe Ihrer Kartendetails auf.<\/p>\n

Sehr \u00fcberzeugende Fake-SMS-Nachrichten<\/h2>\n

Anfang Februar entdeckte unser Botnet Attack Tracking System<\/em> eine weitere neue Funktion des Trojaners Ginp: das Einblenden von gef\u00e4lschten Textnachrichten innerhalb der Inbox regul\u00e4rer SMS-Apps. Auf diese Weise soll der Benutzer, wie zuvor, zum \u00d6ffnen einer bestimmten App bewegt werden -, doch mittlerweile ist der Trojaner dazu in der Lage, SMS-Nachrichten mit beliebigen Inhalten zu generieren, die dann unter dem Deckmantel seri\u00f6ser Anbieter angezeigt werden.<\/p>\n

\"Eine

Eine Nachricht, angeblich von einer Bank, die den Benutzer auffordert, eine Zahlung in der Banking-App zu best\u00e4tigen<\/p><\/div>\n

W\u00e4hrend Benutzer Push-Benachrichtigungen h\u00e4ufig ignorieren, neigen sie dazu, eingehende SMS-Nachrichten fr\u00fcher oder sp\u00e4ter zu lesen. Das hei\u00dft, die Chancen stehen gut, dass Nutzer der Aufforderung, die App des vermeintlichen Anbieters zu \u00f6ffnen, tats\u00e4chlich nachkommen. Sobald dies geschieht, \u00fcberlagert der Trojaner das urspr\u00fcngliche Fenster jedoch mit einem eigenen Fenster und fordert den Nutzer dazu auf, Kreditkarten- oder Bankkontendetails einzugeben.<\/p>\n

So sch\u00fctzen Sie sich vor Ginp<\/h2>\n

Derzeit hat Ginp haupts\u00e4chlich Benutzer in Spanien im Visier, doch aufgrund unserer fr\u00fcheren Erfahrungen bef\u00fcrchten wir, dass dieser Trojaner schon bald auch in weiteren L\u00e4ndern aktiv sein k\u00f6nnte. Um das Risiko einer Kompromittierung durch Ginp oder andere Banking-Trojaner zu minimieren, empfehlen wir deshalb die folgenden Ma\u00dfnahmen:<\/p>\n