Menschen auf der ganzen Welt arbeiten momentan aus dem Homeoffice und praktizieren soziale Distanzierung so gut es geht. Letzteres kann sich in einigen Fällen jedoch zur Paranoia entwickeln. Sollte ich jetzt jegliche Kontakte meiden? Wer weiß schon, wer sich mit dem Coronavirus infiziert hat! Die Menschen sind deutlich ängstlicher im Umgang mit ihren Mitmenschen geworden. Und Cyberkriminelle haben beschlossen, dies auszunutzen.
Der „Coronavirus-Finder“ (der nicht funktioniert)
Die Cyberkriminellen, die hinter Ginp, einem Banking-Trojaner, über den wir erst kürzlich berichtet haben, stecken, haben eine neue Kampagne im Zusammenhang mit COVID-19 gestartet. Nachdem Ginp einen speziellen Befehl erhält, öffnet der Trojaner eine Webseite namens „Coronavirus Finder“. Die Seite verfügt über eine einfache Benutzeroberfläche, die die Anzahl der Coronavirus-Erkrankten im Umkreis anzeigt und die Besucher dazu auffordert, eine kleine Summe zu zahlen, um den Standort dieser Personen zu ermitteln.
Zu wissen, wen man meiden muss, um sich nicht anzustecken… was für eine Erleichterung! Für einige Leute sieht die Nachricht mehr als überzeugend aus, weshalb sie auch die geforderte Gebühr zahlen. Die Summe ist vergleichsweise gering, sodass viele Nutzer nicht lange zögern. Auf der Webseite selbst können die Kreditkartendaten eingegeben werden, um die Transaktion zu vollenden.
Wie Sie sich vielleicht wissen, ist Ginp ein sehr leistungsfähiger Banking-Trojaner, der sich auf viele verschiedene Köder stützt, um Benutzer dazu zu bringen, ihre Kreditkartendaten in Formulare einzugeben, damit diese entwendet werden können. Wenn Sie vermutet haben, dass diese Webseite nur ein weiteres Formular zum Stehlen von Daten ist, dann liegen sie goldrichtig!
Sobald die Kreditkartendaten eingegeben wurden, werden diese direkt an die Kriminellen übermittelt… und das war’s. Ihnen wird nicht einmal die kleine Gebühr für die Lokalisierung der Corona-Erkrankten in Rechnung gestellt (warum auch, wenn die Kriminellen auf das gesamte Kontoguthaben zugreifen können). Und natürlich werden Ihnen im Anschluss keine Informationen über Corona-Erkrankte im Umkreis angezeigt. Ganz einfach deshalb, weil die Cyberkriminellen gar nicht über derartige Informationen verfügen.
Angesichts der Geschwindigkeit, mit der sich das Coronavirus ausbreitet, verfügt derzeit niemand über solche Informationen. Fallen Sie also nicht auf diesen Köder herein. Zudem können Sie den Coronavirus Finder lediglich dann anzeigen, wenn Ihr Handy selbst mit Ginp infiziert worden ist.
Den Angaben unseres Kaspersky Security Network zufolge befinden sich die meisten mit Ginp infizierten Nutzer, wie auch zuvor, in Spanien. Dennoch handelt es sich hierbei um eine neue Version von Ginp, die mit „flash-2“ gekennzeichnet ist, während frühere Versionen mit „flash-es12“ gekennzeichnet waren. Vielleicht bedeutet das Fehlen des „es“-Kürzels im Tag der neueren Version allerdings auch nur, dass Cyberkriminelle planen, die Kampagne über Spanien hinaus auszudehnen.
Es ist nicht das erste Mal, dass Cyberkriminelle das Thema Coronavirus ausnutzen. Sie haben es bereits als Köder in Phishing-Nachrichten verwendet und Corona-spezifische Malware erstellt.
Schutz vor dem Ginp-Banking-Trojaner
Unser Rat, um sich vor dem Banking-Trojaner Ginp zu schützen:
- Laden Sie Apps nur aus dem offiziellen Play Store herunter (und deaktivieren Sie die Option zum Installieren von Apps aus anderen Quellen).
- Bleiben Sie skeptisch. Wenn Ihnen etwas verdächtig erscheint, klicken Sie nicht weiter und geben Sie vor allem keine vertraulichen Daten weiter.
- Geben Sie keiner App Eingabehilfe/Barrierefreiheit-Funktionen – außer Antiviren-Apps.
- Verwenden Sie eine zuverlässige Sicherheitslösung. Zum Beispiel kennt Kaspersky Internet Security for Android Ginp sehr gut und erkennt den Trojaner als Tojan-Banker.AndroidOS.Ginp.
Um sich vor dem Coronavirus zu schützen, empfehlen wir Ihnen, die Richtlinien der WHO zu befolgen.