Malware
17.02.2020, 15:11 Uhr

Kaspersky: Banking-Trojaner Ginp stiehlt Daten mit gefälschten SMS

Der Banking-Trojaner Ginp stiehlt laut Sicherheitsforschern sensible Finanzinformationen seiner Opfer über gefälschte SMS. Die Schadsoftware zielt speziell auf Android-Geräte ab.
(Quelle: shutterstock.com/Nicescene)
Sicherheitsforscher von Kaspersky haben eine neue Version des erstmals im Jahr 2019 entdeckten Ginp-Banking-Trojaners identifiziert. Die Schadsoftware ist speziell auf Android ausgerichtet, wie Kasperksy in einem Blog-Eintrag (Englisch) schreibt.

Mobile-Banking-Trojaner, die ein Smartphone infiltriert haben, versuchen in der Regel, sich Zugang zu SMS-Nachrichten zu verschaffen. Dies, um einmalige Bestätigungscodes von Banken abzufangen. Haben die Cyberkriminellen einen solchen Code, können sie eine eine Zahlung vornehmen oder Gelder abschöpfen, ohne dass das Opfer dies bemerkt.

Was kann Ginp?

Die ursprüngliche Version von Ginp entsprach laut Sicherhetisexperten einem standardmässigen Banking-Trojaner. Er schickte alle Kontakte des befallenen Smartphones an den Malware-Erschaffer, fing Textnachrichten ab, stahl Bankkartendaten und überlagerte Bankanwendungen mit Phishing-Fenstern.

Der Trojaner zeigt unter dem Deckmantel von Google Play ein Formular an, in das man seine Kartendetails eintragen soll
Quelle: Kaspersky
Doch Ginp wurde weiterentwickelt. Die Malware wurde befähigt, mit Push-Benachrichtigungen und Pop-up-Meldungen das Opfer dazu zu bringen, bestimmte Anwendungen zu öffnen und zwar solche, die die Entwickler mit Phishing-Fenstern überlagern konnten. Laut Kaspersky sind die Nachrichten geschickt formuliert (auf Spanisch. Ein Nutzer erhält vermeintlich von Google Play eine Nachricht: «Wir vermissen Ihre Kredit- oder Debitkartendaten. Bitte verwenden Sie die Play-Store-App, um sie sicher hinzuzufügen».

Öffnet ein Benutzer anschliessend die Play-Store-App, sieht er, wie erwartet, ein Formular zur Eingabe der Kartendaten. Es ist jedoch der Trojaner, der das Formular anzeigt und nicht Google Play.

«Ginp ist einfach, aber effizient und effektiv. Die Geschwindigkeit, mit der sich das Schadprogramm weiterentwickelt und neue Fähigkeiten erwirbt, ist besorgniserregend. Während dieser Angriff bisher nur in Spanien zu beobachten war, befürchten wir aufgrund unserer früheren Erfahrungen, dass dieser Trojaner schon bald auch in weiteren Ländern aktiv sein könnte. Android-Nutzer müssen definitiv wachsam sein», schätzt Alexander Eremin, Sicherheitsexperte bei Kaspersky, die neue Version ein.

Überzeugend gefälschte SMS-Nachrichten

Anfang Februar entdeckte das Kaspersky-Botnet-Angriffsverfolgungssystem eine weitere neue Funktion in Ginp: die Möglichkeit, gefälschte eingehende Texte zu erstellen. Der Nutzer soll noch immer dazu gebracht werden, eine App zu öffnen. Neu ist, dass der Trojaner SMS-Nachrichten «mit jedem beliebigen Text und scheinbar von jedem Absender» erzeugen kann, so Kaspersky.
Eine Nachricht – angeblich von einer Bank – fordert den Benutzer auf, eine Zahlung in der mobilen Anwendung zu bestätigen
Quelle: Kaspersky


Möchte ein Benutzer nachsehen, das mit seinem Konto passiert und öffnet die App, zeigt der Trojaner ein gefälschtes Formular zur Eingabe von Kartendaten an.

Um das Risiko zu minimieren, empfielt Kaspersky, Apps nur aus dem offziellen Google-Play-Store herunterzuladen, auf die von Apps angefordrten Zugriffsrechte zu achten (wie z.B. Zugriff auf SMS) und eine zuverlässige Antivirenlösung zu nutzen.




Das könnte Sie auch interessieren