Vom SMS-Trojaner zum mobilen Bank-Schädling

Anzeige
Zwei Jahre nach Erscheinen der ersten Version des Trojaners Trojan-SMS.AndroidOS.FakeInst.fn, die WebSocket verwendete, betrat ein neuer Trojaner die Bühne, und zwar Trojan-Banker.AndroidOS.Gugi.a.

Nur zwei Wochen nach der Entdeckung des neuen Bank-Trojaners FakeInst.fn, Mitte Januar 2014, erschien eine neue Version dieses Trojaners, die die Technologie WebSocket bereits nicht mehr verwendete. Die Kommunikation lief nun über Http (get- und post-Anfragen). Von allen Installationspaketen dieses Trojaners konnten Sicherheitsexperten nur zwei finden (die auf Mitte Mai 2014 datieren), in denen WebSocket benutzt wird. Allem Anschein nach hatten sich die Cyberkriminellen entschlossen, vorübergehend auf diese Technologie zu verzichten. Fast zwei Jahre später griffen sie allerdings erneut darauf zurück, und zwar in der Familie Gugi.

Der Code von Gugi weist zahlreiche Übereinstimmungen mit dem Code (Namen von Variablen und Methoden) des Trojaners FakeInst.fn auf. Die wichtigsten Veränderungen in Gugi sind das Erscheinen eines Phishing-Fensters zum Diebstahl der Kreditkartendaten des Anwenders sowie die Verwendung von WebSocket: In allen von den Sicherheitsexperten gefundenen Installationspaketen der Familie des mobilen Bank-Schädlings Gugi wird die Technologie WebSocket für die Kommunikation mit dem Steuerungsserver verwendet. Auf diese Weise stellten die Cyberkriminellen hinter dem Schädling von Trojan-SMS auf Trojan-Banker um.

Der Trojaner wird aktiv via SMS-Spam mit Links auf Phishing-Seiten verbreitet, auf denen der Nutzer über den angeblichen Empfang einer MMS informiert wird. Beim Drücken auf die Schaltfläche „Ansehen“ in dieser Mitteilung wird der Trojaner Gugi auf das Gerät geladen. Wie wir bereits in unserem vorangegangenen Blogpost über Gugi geschrieben haben, stellten Sicherheitsexperten in den letzten zwei Monaten eine explosionsartige Zunahme von Attacken des Trojaners Gugi fest: Im August wurden 3 Mal mehr Nutzer von Gugi attackiert als noch im Juli und fast 20 Mal mehr als im Juni.

Quelle: hier

Einen Kommentar schreiben