{"id":181334,"date":"2016-09-09T00:10:00","date_gmt":"2016-09-08T22:10:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=181334"},"modified":"2016-09-19T00:40:00","modified_gmt":"2016-09-18T22:40:00","slug":"banking-trojaner-alarm-dreambot-und-gugi","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/09\/09\/banking-trojaner-alarm-dreambot-und-gugi\/","title":{"rendered":"Banking-Trojaner-Alarm: Dreambot und Gugi"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\"\/>Heute eine kurze Sicherheitsinformation im Hinblick auf zwei Banking-Trojaner, die Android- und Windows-Nutzer bedrohnen.<\/p>\n<p><!--more--><\/p>\n<h3>Banking-Trojaner Gugi umgeht Android-Sicherheitsfeatures<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/81dd56e5669a470ba081f41ebc25e7cd\" width=\"1\" height=\"1\"\/>Ab Android 6.x (Marshmallow) ben\u00f6tigt a App eigentlich eine spezielle Berechtigung, wenn sie sich \u00fcber andere Apps legen will (soll Phishing und Ransomware verhindern). Die Schadsoftware 'Trojan-Banker.AndroidOS.Gugi.c' (einfach 'Gugi') nutzt einen trickreichen Mechanismus, um diesen Schritt zu umgehen. Der Nutzer erh\u00e4lt in einer Spam-Mail mit dem Text:<\/p>\n<blockquote>\n<p>Dear user, you receive MMS-photo! You can look at it by clicking on the following link.<\/p>\n<\/blockquote>\n<p>\u00dcber den Link wird die Datei <em>mg67123987.jpg<\/em> heruntergeladen. Wer nicht aufpasst, und die vermeintliche MMS \"installieren\" zum Anzeigen des Bilds l\u00e4sst, aktiviert den Trojaner. Dieser fordert zwar erweiterte Rechte an, gibt aber nur die Option zum Zustimmen. Der Nutzer gelangt zur Seite, in der die Zustimmung zum App-Overlay erteilt werden muss. <\/p>\n<p>Im Nachgang fordert die App immer wieder zus\u00e4tzliche Rechte an, wie Bleeping Computer <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/gugi-trojan-guffaws-at-android-6-security-measures-and-then-bypasses-them\/\" target=\"_blank\">hier schreibt<\/a>. Und am Ende des Tages ist ein Banking-Trojaner aktiv, der versucht, Buchungsinformationen abzugreifen und zu manipulieren. Die App adressiert zwar nur russische Nutzer \u2013 aber die Malware kann durchaus weiter entwickelt werden. Als Android-Nutzer sollte man sich angew\u00f6hnen, keine Links auszuf\u00fchren, die eine App aktivieren wollen. (<a href=\"http:\/\/www.neowin.net\/news\/android-trojan-exploits-marshmallow-security-features-to-steal-banking-information\" target=\"_blank\">via<\/a>)<\/p>\n<h3>Dreambot: Banking-Trojaner Ursnif oder Gozi<\/h3>\n<p>Auf einen der derzeit aktivsten Banking-Trojaner, Dreambot oder Ursnif oder Gozi, weist Proofpoint aktuell in diesem Blog-Beitrag hin. Verteilt wird das Ganze per E-Mail \u00fcber einen Exploit-Kit. Die Urspr\u00fcnge des Trojaners gehen bis ins Jahr 2014 zur\u00fcck, der Sch\u00e4dling wird aber weiter entwickelt. <\/p>\n<p>Dies gilt auch f\u00fcr die Malware-Variante Dreambot. Die neuen Varianten zogen dabei die Aufmerksamkeit von Proofpoint auf sich, weil sie Funktionen f\u00fcr die Kommunikation \u00fcber Tor sowie \u00fcber Peer-to-Peer (P2P) erhalten haben. <\/p>\n<p>Dreambot verbreitet sich zurzeit anhand zahlreicher Exploit-Kits sowie \u00fcber E-Mail-Anh\u00e4nge und Links. Die Mails sind z.Z. zwar in englischer Sprache, es k\u00f6nnte aber bald eine modifizierte Variante geben. Also Obacht vor Links, Mails und obskuren Webseiten. Eine Analyse des Sch\u00e4dlings findet sich in diesem Blog-Beitrag.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute eine kurze Sicherheitsinformation im Hinblick auf zwei Banking-Trojaner, die Android- und Windows-Nutzer bedrohnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4308,5354,5355,4328,1107],"class_list":["post-181334","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-android","tag-dreambot","tag-gugi","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/181334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=181334"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/181334\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=181334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=181334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=181334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}