Banking-Trojaner Ginp stiehlt Daten mit gefälschten SMS

Sicherheitsforscher von Kaspersky haben eine neue Version des erstmals im Jahr 2019 entdeckten Ginp-Banking-Trojaners identifiziert. Die Schadsoftware ist speziell auf Android ausgerichtet, wie Kasperksy in einem Blog-Eintrag schreibt.

Mobile-Banking-Trojaner, die ein Smartphone infiltriert haben, versuchen sich in der Regel Zugang zu SMS-Nachrichten zu verschaffen, um einmalige Bestätigungscodes von Banken abzufangen. Haben die Cyberkriminellen einen solchen Code, können sie eine Zahlung vornehmen oder Geld abschöpfen, ohne dass das Opfer es bemerkt.

Die ursprüngliche Version von Ginp entsprach laut Sicherheitsexperten einem standardmäßigen Banking-Trojaner. Er schickte alle Kontakte des befallenen Smartphones an den Urheber der Malware, fing Textnachrichten ab, stahl Bankkartendaten und überlagerte Bankanwendungen mit Phishing-Fenstern.

Inzwischen wurde Ginp jedoch weiterentwickelt. Die Malware ist nun dazu in der Lage, das Opfer mittels Push-Benachrichtigungen und Pop-up-Meldungen dazu zu bringen, bestimmte Anwendungen zu öffnen. Das führt sodann zu eigens präparierten Phishing-Fenstern. Laut Kaspersky sind die Nachrichten geschickt formuliert und fordert den Anwender dazu auf seine Kontodaten und dergleichen über einen Link zu verifizieren. Öffnet ein Nutzer diesen anschließend, erscheint ein Formular zur Eingabe der Daten. Es ist jedoch der Trojaner, der das Formular anzeigt und der offizielle Anbieter.

"Ginp ist einfach, aber effizient und effektiv. Die Geschwindigkeit, mit der sich das Schadprogramm weiterentwickelt und neue Fähigkeiten erwirbt, ist besorgniserregend. Während dieser Angriff bisher nur in Spanien zu beobachten war, befürchten wir aufgrund unserer früheren Erfahrungen, dass dieser Trojaner schon bald auch in weiteren Ländern aktiv sein könnte. Android-Nutzer müssen definitiv wachsam sein", schätzt Alexander Eremin, Sicherheitsexperte bei Kaspersky, die neue Version ein.

Anfang Februar entdeckte Kaspersky eine weitere neue Funktion in Ginp: die Möglichkeit, gefälschte eingehende Texte zu erstellen. Der Nutzer soll noch immer dazu gebracht werden, eine App zu öffnen. Neu ist, dass der Trojaner SMS-Nachrichten "mit jedem beliebigen Text und scheinbar von jedem Absender" erzeugen kann, so Kaspersky. Auch hiermit soll der Nutzer auf eine eigens präparierte Phishing-Seite gelockt werden, um seine Kontodaten einzugeben.

Um das Risiko zu minimieren, empfiehlt Kaspersky, Apps nur aus dem offiziellen Google Play Store herunterzuladen, auf die von Apps angeforderten Zugriffsrechte zu achten und eine zuverlässige Antivirenlösung zu nutzen.