Banking-Trojaner-Alarm: Dreambot und Gugi

Publiziert am 9. September 2016 von Günter Born

Heute eine kurze Sicherheitsinformation im Hinblick auf zwei Banking-Trojaner, die Android- und Windows-Nutzer bedrohnen.

Anzeige

Banking-Trojaner Gugi umgeht Android-Sicherheitsfeatures

Ab Android 6.x (Marshmallow) benötigt a App eigentlich eine spezielle Berechtigung, wenn sie sich über andere Apps legen will (soll Phishing und Ransomware verhindern). Die Schadsoftware 'Trojan-Banker.AndroidOS.Gugi.c' (einfach 'Gugi') nutzt einen trickreichen Mechanismus, um diesen Schritt zu umgehen. Der Nutzer erhält in einer Spam-Mail mit dem Text:

Dear user, you receive MMS-photo! You can look at it by clicking on the following link.

Über den Link wird die Datei mg67123987.jpg heruntergeladen. Wer nicht aufpasst, und die vermeintliche MMS "installieren" zum Anzeigen des Bilds lässt, aktiviert den Trojaner. Dieser fordert zwar erweiterte Rechte an, gibt aber nur die Option zum Zustimmen. Der Nutzer gelangt zur Seite, in der die Zustimmung zum App-Overlay erteilt werden muss.

Im Nachgang fordert die App immer wieder zusätzliche Rechte an, wie Bleeping Computer hier schreibt. Und am Ende des Tages ist ein Banking-Trojaner aktiv, der versucht, Buchungsinformationen abzugreifen und zu manipulieren. Die App adressiert zwar nur russische Nutzer – aber die Malware kann durchaus weiter entwickelt werden. Als Android-Nutzer sollte man sich angewöhnen, keine Links auszuführen, die eine App aktivieren wollen. (via)

Dreambot: Banking-Trojaner Ursnif oder Gozi

Auf einen der derzeit aktivsten Banking-Trojaner, Dreambot oder Ursnif oder Gozi, weist Proofpoint aktuell in diesem Blog-Beitrag hin. Verteilt wird das Ganze per E-Mail über einen Exploit-Kit. Die Ursprünge des Trojaners gehen bis ins Jahr 2014 zurück, der Schädling wird aber weiter entwickelt.

Dies gilt auch für die Malware-Variante Dreambot. Die neuen Varianten zogen dabei die Aufmerksamkeit von Proofpoint auf sich, weil sie Funktionen für die Kommunikation über Tor sowie über Peer-to-Peer (P2P) erhalten haben.

Dreambot verbreitet sich zurzeit anhand zahlreicher Exploit-Kits sowie über E-Mail-Anhänge und Links. Die Mails sind z.Z. zwar in englischer Sprache, es könnte aber bald eine modifizierte Variante geben. Also Obacht vor Links, Mails und obskuren Webseiten. Eine Analyse des Schädlings findet sich in diesem Blog-Beitrag.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.