Anfang Oktober haben die Sicherheitsspezialisten von Doctor Web einen Trojaner unter iOS entdeckt. Der neue Schädling, der unter dem Namen IPhoneOS.Trojan.YiSpecter.2 geführt wird, wurde als ungefährliche App größtenteils unter chinesischen Benutzern verbreitet. Die Besucher von Erotik-Webseiten wurden aufgefordert, einen neuen Player herunterzuladen, hinter dem sich ein Trojaner versteckte. So verwenden Cyber-Kriminelle einen anderen Channel für die Verbreitung von Malware und umgehen dabei den App-Store. Bei Zustimmung des Benutzers konnte IPhoneOS.Trojan.YiSpecter.2 auf Smartphones und Tablets über eine Jailbreak-Lücke oder auf nicht modifizierten Firmware-Versionen installiert werden.

IPhoneOS.Trojan.YiSpecter.2 führt folgende Funktionen aus:

Daten zum infizierten Endgerät an einen Remote-Server senden
Zusätzliche Module für den Trojaner installieren
Originalprogramme auf Befehl der Cyber-Kriminellen deinstallieren und diese mit gefälschten Kopien ersetzen
Werbung auf dem Bildschirm von iOS-Geräten anzeigen
Einzelne Module oder den Trojaner selbst neu installieren

Trojaner auf Google Play

Im Oktober wurde ein Trojaner auf Google Play hochgeladen. Der Schädling, der unter dem Namen Android.PWS.3 geführt wird, versteckte sich hinter einem Videoplayer, mit welchem man sich Videoclips auf VK.com ansehen konnte. Nach dem Start verlangte der Schädling Benutzername und Passwort und gab den Zugang zu Videoclips frei. Gleichzeitig übertrug er vertrauliche Daten des Benutzers an Cyber-Kriminelle. Anschließend baute Android.PWS.3 eine Verbindung zu Cyber-Kriminellen auf und lud eine Liste von Gruppen von VK.com herunter, in die er immer wieder neue Opfer anlockte. Somit konnte er seine Beliebtheit bei Benutzern und sein Rating fälschen.

Trojaner in Firmware

Fast jeden Monat werden von Doctor Web Fälle entdeckt, wo Schädlinge in Android-Firmware eingeschleust werden. Auch in diesem Monat wurde Android.Cooee.1 gefunden, der in einer Launcher-Applikation (Benutzeroberfläche von Android) sitzt und über Module zum Anzeigen von Werbung verfügt. Außerdem kann der Trojaner zusätzliche Werbepakete, u.a. Schadsoftware, herunterladen und starten. So wurde vor kurzem Android.DownLoader.225 entdeckt, der böswillige Dateien verdeckt herunterlud.

Wenn das Opfer Android.Cooee.1 deinstalliert, wird das Betriebssystem beeinträchtigt und kann beim nächsten Laden nicht funktionsfähig starten. Doctor Web empfiehlt deshalb, eine Originalversion der Firmware vor der Deinstallation des Schädlings herunterzuladen und diese in den Einstellungen als Default-Programm zu definieren.

Bankentrojaner

Unter den entdeckten Programmen befindet sich u.a. Android.BankBot.80.origin, der sich als App einer großen russischen Bank verbreitete. Nachdem Android.BankBot.80.origin auf Smartphones gestartet hat, verlangt er vom Benutzer Administratorrechte und sendet an alle im Adressbuch gefundenen Kontakte eine Kurznachricht mit folgendem Inhalt: „Hallo, stimm für mich ab auf http://******konkurs.ru/“. Beim Aufrufen dieser Seite wird Android.SmsBot.472.origin heruntergeladen. Darüber hinaus müssen Benutzer auf diesem Portal einen weiteren Schädling installieren, der sich als Android.BankBot.80.origin erwiesen hat.

Der Trojaner:

ist in der Lage, sich als Originalsoftware, u.a. Bankapp oder Abstimmungsapp zu verbreiten;
verlangt vom Benutzer Administratorrechte, indem er eine entsprechende Anfrage immer wieder sendet und den Benutzer bei der Arbeit stört;
sendet Kurznachrichten an Kontakte aus dem Adressbuch. Wenn ein Opfer dem Link folgt, wird eine böswillige App auf das Gerät heruntergeladen;
kann Geld von Konten der mobilen Endgeräte, Bankkarten und aus Zahlungssystemen klauen;
leitet eingehende Anrufe weiter, damit Benutzer sie nicht annehmen können.

Mehr zu Android.BankBot.80.origin lesen Sie hier.

Signaturen für Trojaner der Familie Android.BankBot in der Dr.Web Virendatenbank:

September 2015	Oktober 2015	Wachstum
142	148	+4.2%

Signaturen für Trojaner der Familie Android.SmsSend in der Dr.Web Virendatenbank:

September 2015	Oktober 2015	Wachstum
520	550	+5.8%