Baden-Baden, 19. Juni 2019

Die Virenanalysten von Doctor Web untersuchten einen Schädling, der auf JavaScript geschrieben ist und Node.js zum Start im System verwendet. Die Malware verbreitet sich über Cheatsites für beliebte Videospiele und wird nun unter dem Namen Trojan.MonsterInstall geführt.

Das Team von Yandex übergab dem Virenlabor von Doctor Web eine Probe dieses seltenen Node.js-Trojaners zur Analyse. Es stellte sich heraus: Die Malware, die über Cheatsites für Videospiele verbreitet wird, hat mehrere Versionen und Komponenten.

Beim Herunterladen eines Cheats lädt der Nutzer ein passwortgeschütztes Archiv auf seinen Computer herunter. Darin befindet sich eine ausführbare Datei, die beim Start die notwendigen Cheats zusammen mit anderen Komponenten des Trojaners herunterlädt.

Trojan.MonsterInstall startet danach auf dem Gerät des Opfers, lädt alle notwendigen Module herunter, installiert sich im System, sammelt Systemdaten und sendet diese an den Server des Entwicklers. Nach Erhalt der Antwort wird er im Autostart-Verzeichnis installiert und fängt gleich an, die Kryptowährung TurtleCoin zu schürfen.

Zur Verbreitung des Trojaners nutzen Malware-Entwickler ihre eigenen Websites mit Cheats für beliebte Spiele und infizieren auch Dateien auf anderen ähnlichen Websites. Laut SimilarWeb-Statistik rufen Nutzer diese Websites etwa 127.400 Mal im Monat auf.

Websites, die dem Entwickler des Trojaners gehören:

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

Darüber hinaus sind einige Dateien auf der Webseite proplaying[.]ru infiziert.

Die Virenanalysten von Doctor Web empfehlen deshalb allen Nutzern, ihre Virenschutz-Apps auf einem aktuellen Stand zu halten und keine verdächtige Apps herunterzuladen.

Wir danken auch dem Team von Yandex für die bereitgestellte Probe sowie weitere Informationen zur Verbreitung des Schädlings.

Mehr zum Trojaner

Indikatoren des Kompromittierung

Baden-Baden, 14. Juni 2019

Die Virenanalysten von Doctor Web entdeckten den Schädling Android.FakeApp.174, der im Google Chrome-Browser verdächtige Webseiten hochlädt. Google Chrome-Nutzer werden dabei ohne ihre Zustimmung für Push-Benachrichtigungen registriert. Diese werden versendet, auch wenn der Browser geschlossen ist. Man könnte auch glauben, dass sie echt sind. Solche Benachrichtigungen stören nicht nur die Arbeit mit Android-Geräten, sondern können auch zum Diebstahl von Geld und vertraulichen Daten führen.

Die Web-Push-Technologie ermöglicht es Webseiten, mit Zustimmung des Nutzers Benachrichtigungen an den Nutzer zu senden, auch wenn eine Webseite nicht im Browser geöffnet ist. Diese Funktion ist nützlich und bequem, wenn man mit harmlosen Inhalten arbeitet. So kann man sich beispielsweise in sozialen Netzwerken auf diese Weise über neue Beiträge informieren. Nachrichtenagenturen können auch ihre Abonnenten über neue Beiträge benachrichtigen. Die Technologie wird jedoch von Cyberkriminellen und skrupellosen Werbetreibenden missbraucht, um Werbung und betrügerische Benachrichtigungen von gehackten oder bösartigen Webseiten zu verbreiten.

Diese Benachrichtigungen werden in Browsern sowohl auf PCs als auch auf Laptops und mobilen Geräten unterstützt. In der Regel gerät das Opfer auf eine zweifelhafte Webseite, wenn es einen Link oder Werbebanner anklickt. Android.FakeApp.174 ist einer der ersten Trojaner, der Cyberkriminellen hilft, die Zahl der Besucher auf diesen Seiten zu erhöhen und solche Benachrichtigungen an Smartphone - und Tablet-Nutzer zu generieren.

Android.FakeApp.174 wird so unter dem Deckmantel einer bekannten App verbreitet. Zwei solcher Modifikationen des Trojaners wurden von unseren Virenanalysten Anfang Juni auf Google Play entdeckt. Nach der Kontaktaufnahme mit Google wurde die Malware entfernt. Nichtsdestotrotz wurde die App von über 1.100 Nutzern heruntergeladen.

Beim Start lädt der Trojaner im Google Chrome-Browser eine Webseite herunter, deren Adresse in den Einstellungen einer böswilligen App angegeben ist. Diese Seite leitet den Nutzer auf Seiten verschiedener Partnerprogramme weiter. Danach wird man aufgefordert, den Erhalt von Benachrichtigungen auf jeder dieser Seiten zu erlauben. Um das Opfer davon zu überzeugen, wird eine Art Überprüfung durchgeführt (z.B. dass der Benutzer kein Roboter ist) oder ein Hinweis darauf gegeben, auf welche Schaltfläche man klicken soll. Dies soll mehr Abos generieren. Beispiele für solche Anfragen sind auf den folgenden Bildschirmaufnahmen dargestellt:

Nach der Aktivierung des Abos beginnen diese Webseiten, dem Nutzer zahlreiche Benachrichtigungen zu fragwürdigen Inhalten zu senden. Sie werden auch dann empfangen, wenn der Browser geschlossen ist und der Trojaner bereits gelöscht wurde. Der Inhalt kann alles Mögliche sein, u.a. falsche Benachrichtigungen über den Erhalt von Geldboni oder Überweisungen, neue Meldungen in sozialen Netzwerken, Werbehoroskopen, Casinos, Waren und Dienstleistungen und sogar «News».

Viele von ihnen sehen wie echte Benachrichtigungen über echte Online-Dienste aus. So sind sie beispielsweise mit dem Logo einer Bank, einer Dating-Webseite, einer Nachrichtenagentur oder eines sozialen Netzwerks versehen. Besitzer von Android-Geräten können täglich Dutzende solcher Spam-Nachrichten empfangen.

Obwohl diese Benachrichtigungen auch die Adresse der entsprechenden Webseite enthalten, können sie von einem unwissenden Nutzer übersehen werden. Beispiele für betrügerische Benachrichtigungen sind wie folgt:

Wenn man eine solche Benachrichtigung anklickt, wird man auf die Webseite mit fragwürdigem Inhalt weitergeleitet. Dies kann u.a. Werbung für Casinos sowie unterschiedliche Apps auf Google Play, Rabatt- und Gutscheinangebote sowie gefälschte Online-Umfragen und Gewinnspiele sein, die je nach Standort des Nutzers variieren. Beispiele für solche Webseiten sind wie folgt:

Viele von diesen Webseiten sind an bereits bekannten betrügerischen Programmen beteiligt. Cyberkriminelle sind auch in der Lage, einen Angriff jederzeit zu starten, um sensible Daten zu klauen. Ein potenzielles Opfer kann also eine gefälschte Benachrichtigung anklicken, zu einer Phishing-Seite gehen und seinen Namen, sein Login, sein Passwort, seine E-Mail-Adresse, seine Kreditkartennummer oder andere sensible Daten angeben.

Die Malwareanalysten von Doctor Web sind der Meinung, dass Cyberkriminelle diese Methode zur Promotion zweifelhafter Dienste weiterhin aktiv nutzen werden. Android-Nutzer sollten deshalb beim Aufrufen von Webseiten diese sorgfältig auf verdächtige Aufforderungen und unerwünschte Benachrichtigungen überprüfen. Wenn man aus einem beliebigen Grund unerwünschte Spam-Benachrichtigungen abonniert hat, sollte man wie folgt vorgehen:

• Rufen Sie «Einstellungen» => «Website-Einstellungen» => «Benachrichtigungen» in Google Chrome auf.
• Finden Sie in der Liste die entsprechende Webseite, klicken Sie diese an und wählen Sie «Berechtigungen zurücksetzen» oder «Löschen».

Dr.Web Produkte für Android finden und löschen alle bekannten Modifikationen von Android.FakeApp.174. Deshalb stellt der Trojaner für unsere Nutzer keine Bedrohung dar.

Mehr zu Android.FakeApp.174

Your Android needs protection.

Use Dr.Web

• The first Russian anti-virus for Android
• Over 140 million downloads—just from Google Play
• Available free of charge for users of Dr.Web home products

Free download

Frankfurt, 3. Juni 2019

Im Mai 2019 verzeichneten die Statistiken der Dr.Web Server einen Anstieg der Anzahl einzigartiger Bedrohungen um 1,49% gegenüber dem Vormonat. Die Gesamtzahl der erkannten Bedrohungen stieg um 14,51%. Die Statistiken zeigen, dass Adware und Installer das Malware-Feld dominieren. Der Mailverkehr wird nach wie vor von Malware dominiert, die Schwachstellen in Microsoft Office-Dokumenten ausnutzt. Auch die Verbreitung des gefährlichen Trojaners Trojan.Fbng.8 (FormBook)..Fbng.8 (FormBook) nahm zu.

Versand von Stealern per E-Mail

Die Virenanalysten von Doctor Web meldeten eine neue Bedrohung für das MacOS-Betriebssystem – Mac.BackDoor.Siggen.20. Mit dieser Malware können Cyber-Kriminelle einen beliebigen Python-Code auf das Gerät des Nutzers herunterladen und ausführen. Webseiten, die diese Malware verbreiten, infizieren auch Windows-Rechner mit der Spyware BackDoor.Wirenet.517 (NetWire). Letztere ist ein bekannter RAT-Trojaner, mit dem Hacker den Computer des Opfers (u.a. Kamera und Mikrofon) fernbedienen können. Darüber hinaus verfügt der RAT-Trojaner über eine gültige digitale Signatur.

Mehr zur Bedrohung

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Softobase.12

Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.Ubar.13

Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.InstallCore.3553

Der Trojaner installiert Adware, zeigt Werbung an und installiert zusätzliche Programme ohne Zustimmung des Nutzers.

Trojan.Winlock.14244

Der Trojaner sperrt und schränkt den Zugriff des Benutzers auf das Benutzersystem und seine Funktionen ein. Für die Entsperrung ist die Überweisung eines Lösegeldes auf das Konto der Entwickler nötig.

Trojan.Starter.7394

Trojaner, der zum Starten weiterer Malware auf dem Gerät gedacht ist.

Malware im E-Mail-Traffic

Bedrohungen des Monats:

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.435

Ein böswilliges Microsoft Office Word Dokument, welches die Schwachstelle CVE-2017-11882 zum Herunterladen des Schadcodes Trojan.Fbng.8 (FormBook) auf das Gerät des Nutzers verwendet.

Trojan.PWS.Stealer.19347

Familie von Trojanern, die von infizierten Geräten Passwörter sowie weitere sensible Daten klaut.

Diese Schädlinge sind im Mai aktiver geworden:

Trojan.Inject3.15480

Der Trojaner, der auch als Trojan.Fbng.8 (FormBook) bekannt ist, klaut persönliche Daten der Nutzer von infizierten Geräten und kann Befehle vom Server der Cyber-Kriminellen empfangen.

Encoder

Support-Anfragen aufgrund von Encodern im Mai 2019:

• Trojan.Encoder.18000 — 15.38%
• Trojan.Encoder.858 — 9.89%
• Trojan.Encoder.11464 — 5.49%
• Trojan.Encoder.25574 — 5.49%
• Trojan.Encoder.11539 — 5.27%
• Trojan.Archivelock — 5.05%
• Trojan.Encoder.567 — 1.98%

Gefährliche Webseiten

Im Mai 2019 wurden 223.952 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Im Frühling verbreiteten Cyber-Kriminelle verschiedene böswillige Apps über Google Play. Anfang Mai 2019 entdeckten die Virenanalysten von Doctor Web dann den Trojaner Android.HiddenAds.1396, der ständig Werbebanner anzeigte und Schnittstellen anderer Apps sowie des Betriebssystems mit diesen blockierte. Später wurden die Spione Android.SmsSpy.10206 und Android.SmsSpy.10263 entdeckt, die eingehende SMS stehlen und an Cyber-Kriminelle weiterleiten.

entdeckt, die eingehende SMS stehlen und an Cyber-Kriminelle weiterleiten.

• Neue Schädlinge auf Google Play.

Mehr zu den Ereignissen in der mobilen Sicherheitsszene lesen Sie in diesem Bericht.

Frankfurt, 8. Mai 2019

Die Virenanalysten von Doctor Web spürten einen Schädling für macOS auf, der auf Rechnern einen beliebigen Schadcode auf Python ausführen lassen kann. Webseiten, die diese Malware verbreiten, infizieren mit der Spyware auch Windows-Nutzer.

Eine neue Bedrohung für macOS wurde von den Virenanalysten von Doctor Web am 29. April entdeckt. Der Schädling wird unter dem Namen Mac.BackDoor.Siggen.20 geführt und stellt eine Backdoor dar, die einen Schadcode von einem Remote-Server herunterladen und ausführen kann.

Mac.BackDoor.Siggen.20 gelangt auf Rechner über Webseiten der Schadcode-Entwickler. Eine solche Webseite ist normalerweise als simple Webseite mit einem Portfolio einer fiktiven Person konzipiert. Ein weiteres Beispiel ist eine Webseite, die als WhatsApp maskiert ist.

Beim Aufrufen dieser Webseiten bestimmt der eingebettete Schadcode das Betriebssystem des Nutzers und lädt je nach Betriebssystem eine Backdoor oder einen Trojaner auf den Rechner herunter. Ein macOS-Nutzer wird also mit dem Mac.BackDoor.Siggen.20 und ein Windows-Nutzer mit dem BackDoor.Wirenet.517 (NetWire) infiziert. Der Letztere ist auch als RAT-Trojaner bekannt, über den Cyber-Kriminelle einen Computer des Opfers, u.a. durch Einsatz von Kamera und Mikrofon, entfernt steuern können. Der verbreitete RAT-Trojaner verfügt wirklich über eine digitale Signatur.

Gemäß Angaben der Virenanalysten von Doctor Web wurde die Webseite, die den Mac.BackDoor.Siggen.20 unter dem Deckmantel von WhatsApp verbreitet, von mindestens 300 Besuchern mit einzigartigen IP-Adressen geöffnet. Die Webseite ist seit dem 24. März 2019 aktiv und wurde durch Hacker in groß angelegten Kampagnen noch nicht eingesetzt. Die Sicherheitsexperten von Doctor Web empfehlen deshalb, vorsichtig zu sein und die Virenschutzsoftware auf einem aktuellen Stand zu halten. Zum jetzigen Zeitpunkt können alle Komponenten von Mac.BackDoor.Siggen.20 nur durch Dr.Web erfolgreich aufgespürt werden.

Mehr zur Bedrohung

Frankfurt, 30. April 2019

Im April 2019 zeigte die Statistik des Dr.Web Servers einen Rückgang der Bedrohungen um 39,44% im Vergleich zum Vormonat, während die Gesamtzahl der erkannten Bedrohungen um 14,96% zurückging. Der E-Mail-Verkehr wird nach wie vor von Malware dominiert, die Schwachstellen in Microsoft Office-Apps ausnutzt. Auch Malware und Statistiken über unerwünschte Software setzen den Trend des letzten Monats fort: Die Mehrheit der erkannten Bedrohungen sind böswillige Erweiterungen für Browser, unerwünschte Apps und Adware.

Die Zahl der böswilligen und nicht empfohlenen Webseiten stieg um 28,04%. Eine dieser Webseiten verbreitete einen Banking-Trojaner, Stealer sowie eine Video- und Audioverarbeitungssoftware. Darüber wurde bereits Anfang April berichtet. Außerdem warnten die Virenanalysten von Doctor Web über Phishing-Mails von angeblichen Adressen bekannter Unternehmen.

Bedrohung des Monats

Die Virenanalysten von Doctor Web warnten Nutzer über die Kompromittierung der offiziellen Webseite einer beliebten Video- und Audiobearbeitungssoftware. Die Hacker ersetzten den Download-Link und luden zusammen mit dem Editor den gefährlichen Banking-Trojaner Win32.Bolik.2 und Trojan.PWS.Stealer (KPOT Stealer) herunter. Diese Trojaner wurden speziell dafür entwickelt, um Web-Injektionen durchzuführen, den Traffic abzufangen, das Keylogging durchzuführen und Daten aus Bankkundensystemen verschiedener Kreditinstitute zu klauen. Darüber hinaus ersetzten die Hacker den Schädling Win32.Bolik.2 durch einen anderen, eine Variation des Trojan.PWS.Stealer (KPOT Stealer).

Dieser Trojaner klaut Daten aus Browsern, Microsoft-Konten, Messengern und anderen Apps.

Mehr zur Bedrohung.

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Softobase.12

Die Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.Ubar.13

Das Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Starter.7394

Der Trojaner, der zum Starten anderer Malware eingesetzt wird.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Malware im E-Mail-Traffic

Exploit.ShellCode.69

Das angepasste Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.CVE2012-0158

Das angepasste Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

Trojan.Encoder.26375

Der Erpresser, der Dateien auf dem PC verschlüsselt und für die Dekodierung ein Lösegeld vom Opfer verlangt.

W97M.DownLoader.2938

Die Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Encoder

Support-Anfragen aufgrund von Encodern im April 2019:

• Trojan.Encoder.858 — 17.95%
• Trojan.Encoder.18000 — 14.65%
• Trojan.Encoder.11464 — 7.69%
• Trojan.Archivelock — 5.49%
• Trojan.Encoder.567 — 3.85%
• Trojan.Encoder.11539 — 3.85%
• Trojan.Encoder.25574 — 2.75%

Gefährliche Webseiten

Im April 2019 wurden 345.999 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im April teilte teilte Doctor Web über den gefährlichen Trojaner Android.InfectionAds.1 mit, der mehrere kritische Schwachstellen von Android ausnutzte. Dank ihnen konnte er apk-Dateien infizieren sowie Apps selbständig installieren und entfernen.

Im Laufe des Monats wurden auf Google Play neue bösartige Apps wie Downloader und Klicker sowie Trojaner aufgespürt, die Logins und Passwörter aus Instagram-Konten klauen und unter den Namen Android.PWS.Instagram.4 und Android.PWS.Instagram.5 geführt werden.

Darüber hinaus wurden die Android-Nutzer durch Trojaner wie Android.Banker.180.origin sowie andere bösartige Apps bedroht.

Hauptereignisse in der mobilen Sicherheitsszene im April 2019:

• Neue Schädlinge wurden auf Google Play entdeckt.
• Verbreitung von neuen Banking-Trojanern

Frankfurt, 11. April 2019

Die Virenanalysten von Doctor Web fanden heraus, dass die offizielle Webseite des beliebten Video- und Audiobearbeitungsprogramms VSDC kompromittiert wurde. Die Hacker ersetzten den Download-Link, weshalb Nutzer zusammen mit der Editor-App den gefährlichen Banking-Trojaner Win32.Bolik.2 und Trojan.PWS.Stealer (KPOT Stealer) heruntergeladen haben.

VSDC ist eine beliebte kostenlose Video- und Audioverarbeitungssoftware. Laut SimilarWeb hat die offizielle Webseite, von der aus dieser Video-Editor heruntergeladen werden kann, monatlich rund 1,3 Millionen Nutzer. Die vom Unternehmen getroffenen Sicherheitsmaßnahmen reichen jedoch oft nicht aus, um eine derartige Webseite mit einem solchen Traffic zu betreiben, was viele Nutzer gefährdet.

Im vergangenen Jahr erhielten unbekannte Hacker den Administratorzugang zur VSDC-Webseite und ersetzten dort Download-Links. Statt eines Video-Editors luden Nutzer eine JavaScript-Datei herunter, die dann AZORult Stealer, X-Key Keylogger und DarkVNC Backdoor herunterlud. VSDC berichtete, dass die Schwachstelle beseitigt wurde. Vor kurzem sind den Virenanalysten von Doctor Web jedoch andere Infektionsfälle aufgefallen.

Gemäß den Virenanalysten von Doctor Web wurde der Computer des VSDC-Entwicklers seit der letzten Infektion mehrmals angegriffen. Einer der Hacks führte vom 21.02.2019 bis 23.03.2019 zur Kompromittierung der Webseite. Diesmal verwendeten Hacker eine andere Methode zur Verbreitung von Malware: Sie haben einen bösartigen JavaScript-Code in die VSDC-Site eingebettet, um Besucher der Webseite orten zu können und einen Download-Link für Nutzer aus Großbritannien, den USA, Kanada und Australien zu ersetzen. Anstatt authentischer VSDC-Links wurden Links zu einer gehackten Webseite verwendet:

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

Nutzer, die das Programm von dieser Webseite heruntergeladen haben, haben auch einen gefährlichen Banking-Trojaner heruntergeladen - Win32.Bolik.2. Wie Win32.Bolik.1 hat auch Win32.Bolik.1 Eigenschaften eines multimodularen polymorphen Dateivirus. Diese Trojaner wurden speziell dafür entwickelt, um Web-Injektionen durchzuführen, Traffic abzufangen, Keylogging durchzuführen und Informationen aus CRM-Systemen verschiedener Kreditinstitute zu stehlen. Aktuell sind den Virenanalysten von Doctor Web mindestens 565 Fälle einer Infektion mit diesem Trojaner über videosoftdev.com bekannt. Bemerkenswert ist auch, dass alle Trojaner-Dateien aktuell nur mit Hilfe von Dr.Web Produkten erfolgreich aufgespürt werden können.

Darüber hinaus ersetzten Hacker am 22.03.2019 Win32.Bolik.2 durch eine weitere Malware – eine Version des Trojan.PWS.Stealer (KPOT Stealer). Dieser Trojaner klaut Informationen aus Browsern, Microsoft-Konten, Messengern und anderen Apps. An nur einem einzigen Tag wurde er von 83 Nutzern heruntergeladen.

Die VSDC-Entwickler wurden über die Kompromittierung ihrer Webseite informiert. Alle Download-Links wurden wiederhergestellt. Doctor Web empfiehlt jedoch allen Nutzern von VSDC-Produkten, ihre Geräte mit Hilfe von Dr.Web auf Malware zu scannen.

Indikatoren der Kompromittierung.

Frankfurt, 3. April 2019

Die Virenanalysten von Doctor Web konnten ihre Analyse des Trojaners, der Counter-Strike 1.6 Spieler angreifen konnte, abschließen. Im Vergleich zum Vormonat machte sich darüber hinaus auch das Wachstum von Malware-Aktivitäten bemerkbar. So haben sich beispielsweise die Aktivitäten von Trojan.MulDrop8.60634 fast verdreifacht und auch die Anzahl der Bedrohungen Trojan.Packed.24060 und Adware.OpenCandy.243 ist im vergangenen Monat drastisch gestiegen. In die Datenbank der nicht empfohlenen und bösartigen Webseiten wurden hingegen vergleichsweise weniger Adressen hinzugefügt. Die Anzahl von Support-Anfragen aufgrund der Datenentschlüsselung nahm jedoch zu.

Bedrohung des Monats

Im März 2019 veröffentlichten die Malwareanalysten von Doctor Web eine detaillierte Studie über einen Belonard Trojaner, der Zero-Day-Schwachstellen im Steam-Client von Counter-Strike 1.6 ausnutzt. Auf dem Computer des Opfers änderte der Trojaner Dateien des Clients und erstellte Spiel-Proxy-Server, um andere Benutzer zu infizieren. Die Anzahl der böswilligen CS 1.6-Server, die mit dem Belonard-Trojaner erstellt wurden, erreichte 39% aller bei Steam registrierten offiziellen Server. Alle Module des Belonard Trojaners werden durch Dr.Web Antivirus erfolgreich erkannt. Dr.Web Nutzer müssen sich daher keine Sorgen machen.

Mehr zum Trojaner.

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Trojan.Packed.24060

Trojaner, der böswillige Erweiterungen für Browser installiert, die über Suchtreffer in Suchmaschinen zu anderen Webseiten weiterleiten.

Adware.Softobase.12

Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.OpenCandy.243

Apps, die andere Software installieren und durch Entwickler zum Zwecke der Monetisierung verwendet werden.

Adware.Ubar.13

Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Starter.7394

Trojaner, der zum Starten anderer Malware eingesetzt wird.

Die Zahl der folgenden Bedrohungen hat abgenommen:

Trojan.MulDrop8.60634

Dieser Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Malware im E-Mail-Traffic

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Trojan.SpyBot.699

Banking-Trojaner, der es Cyber-Kriminellen ermöglicht, verschiedene Apps auf ein infiziertes Gerät hochzuladen und Befehle zu senden. Auf diese Weise können Cyber-Verbrecher Geld von Bankkonten der Nutzer klauen.

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

Trojan.PWS.Stealer.23680

Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.

Encoder

Support-Anfragen aufgrund von Encodern im März 2019:

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

Gefährliche Webseiten

Im März 2019 wurden 270.227 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im vergangenen Monat wurden auf Google Play neue böswillige Apps entdeckt. Darunter befinden sich u.a. Trojaner aus der Familie Android.FakeApp, die sich unter dem Deckmantel einer App für die Generierung des Einkommens im Internet verbreiten. Diese laden Webseiten, auf denen Nutzer aufgefordert werden, Fragen von einem vermeintlichen Sponsor zu beantworten. Für die Teilnahme an einer solchen Umfrage wird den Teilnehmern eine Entlohnung versprochen. Um eine Entlohnung zu erhalten sollen die Nutzer eine Provision auf ein vorgegebenes Konto überweisen. De Facto gibt es jedoch keine Entlohnung und die Nutzer senden ihr Geld an Cyber-Kriminelle.

Weiterhin wurden auch einige Exemplare von Android.HiddenAds entdeckt. Diese zeigen Werbebanner an und verhindern die Arbeit auf Android-Geräten.

Cyber-Kriminelle hören nicht auf, Banking-Trojaner zu verbreiten. Über einen solchen Banking-Trojaner wurde bereits in dieser Meldung berichtet. Der Schädling, der auch unter dem Namen Flexnet bekannt ist, klaut Geld von Bankkonten und mobile Guthaben der Nutzer.

Ende März haben die Malwareanalysten von Doctor Web Details zur Schwachstelle im beliebten UC Browser für Android bekanntgegeben, der Plug-ins unter Umgehung von Google Play-Servern herunterladen kann. Cyber-Kriminelle konnten diese Schwachsteller zur Verbreitung von Trojanern ausnutzen.

Hauptereignisse in der mobilen Sicherheitsszene im März 2019:

• Es wurde eine Sicherheitslücke im UC Browser gefunden.
• Verbreitung von Malware auf Google Play.
• Verbreitung von Banking-Trojanern.

Mehr zur Lage in der mobilen Sicherheitsszene erfahren Sie hier.

Frankfurt, 11. März 2019

Die Malware-Analysten von Doctor Web fanden heraus, dass der Trojaner Trojan.Belonard zu seiner Einschleusung eine Zero-Day-Sicherheitslücke in Counter-Strike 1.6 ausnutzte. Der Trojaner ersetzte dabei einzelne Client-Dateien und eine Liste von verfügbaren Spielservern.

Trojan.Belonard gelangte auf die Rechner der Spieler, sobald er eine Verbindung zu einem böswilligen Spielserver aufbauen konnte. Der Schädling nutzte dabei Schwachstellen des Spiel-Clients aus und konnte sowohl Steam-Versionen als auch Piraten-Builds von Counter-Strike 1.6 (CS 1.6) infizieren. Auf dem Computer des Opfers änderte der Trojaner Client-Dateien und erstellte Proxy-Server, um andere Benutzer zu infizieren. Diese Technik ermöglichte es Cyber-Kriminellen, Spiele zu bewerben und damit Geld zu verdienen.

Die Zahl der Online-Spieler mit offiziellen CS-Clients 1.6 liegt aktuell im Durchschnitt bei 20.000 und die Gesamtzahl der in Steam registrierten Spielserver beläuft sich auf über 5.000. Verkauf, Vermietung und Bewerbung von Spielservern sind zu einem echten Geschäft geworden und werden als Dienstleistungen auf verschiedenen Webseiten angeboten. Eigentümer von Servern bezahlen oft für solche Dienste, wissen aber nicht, dass für die Bewerbung ihrer Server Malware eingesetzt werden kann. Solche illegalen Methoden verwendete bspw. ein Entwickler unter dem Spitznamen Belonard: Sein Server infizierte andere Spieler mit einem Trojaner und nutzte ihre Konten zur Bewerbung weiterer Spielserver aus.

Die Anzahl der schädlichen CS-Server 1.6, die mit dem Belonard-Trojaner erstellt wurden, hat inzwischen 39% aller bei Steam registrierten offiziellen Server erreicht. Die CS-Community wird mit diesem Problem seit langem konfrontiert. Leider erkannte die Virenschutzsoftware bisher nur Teile des Belonard-Trojaners und nicht den Schadcode als Ganzes. Jetzt werden alle Module des Belonard-Trojaners durch Dr.Web Antivirus ausfindig gemacht und stellen für Dr.Web Nutzer keine Bedrohung dar. Mehr zur Funktionsweise des Trojaners finden Sie in unserem englischsprachigen Ermittlungsbericht.

Frankfurt, 1. März 2019

Im Februar 2019 ist die Anzahl von Bedrohungen im Vergleich zum Vormonat um 9,73% zurückgegangen. Malware-Aktivitäten blieben generell auf dem Niveau vom Dezember 2018. Bei einigen Bedrohungen gab es aber eine leichte Dynamik. So drängte beispielsweise JS.Miner.28, dessen Aktivitäten im Januar zunahmen, seinen Konkurrenten JS.Miner.11. Trojan.Starter.7394 stieg um 14,29% gegenüber Januar an und Trojan.DownLoader26.28109 ging fast ums Dreifache zurück. Darüber hinaus wurden 1,68% weniger Domains in die Datenbank der nicht empfohlenen Webseiten aufgenommen. Die Zahl von Support-Anfragen aufgrund der Datenentschlüsselung ging ebenfalls zurück.

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Softobase.12

Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.Ubar.13

Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Starter.7394

Trojaner, der zum Starten anderer Malware eingesetzt wird.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Trojan.MulDrop8.60634

Der Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.

Die Anzahl der folgenden Bedrohungen hat abgenommen:

Trojan.Encoder.11432

Auch als WannaCry bekannt. Der Schädling verschlüsselt Dateien der Nutzer und verlangt ein Lösegeld für die Dekodierung. Im Mai 2017 waren Geräte auf der ganzen Welt davon betroffen.

Trojan.DownLoader26.28109

Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.

Malware im E-Mail-Traffic

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

JS.Miner.28

JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt.

Trojan.PWS.Stealer.23680

Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.

Encoder

Support-Anfragen aufgrund von Encodern im Februar 2019:

• Trojan.Encoder.858 — 31.39%;
• Trojan.Encoder.18000 — 10.18%;
• Trojan.Encoder.11464 — 4.67%;
• Trojan.Encoder.11539 — 4.67%;
• Trojan.Encoder.567 — 2.34%;
• Trojan.Encoder.25814 — 2.34%.

Gefährliche Webseiten

Im Februar 2019 wurden 288.159 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Im vergangenen Monat haben die Virenanalysten von Doctor Web eine Vielzahl von bösartigen und unerwünschten Programmen für Android OS identifiziert. Mitte Februar registrierte man z.B. eine Werbekampagne, die Cyber-Kriminelle zur Verbreitung von Android.HiddenAds einrichteten. Auf Instagram und YouTube wurde potenziellen Opfern angeboten, Programme zur Bearbeitung von Fotos und Videos zu installieren. In diesen Apps steckten jedoch Trojaner.

Im Februar wurden darüber hinaus mehrere neue Kennungen in die Virendatenbank aufgenommen, um böswillige Apps der Android.FakeApp-Familie zu erkennen. Diese Trojaner riefen betrügerische Webseiten auf, wo Benutzer gegen Geld zur Teilnahme an Umfragen aufgefordert wurden. Um eine Gutschrift zu erhalten, mussten potenzielle Opfer zunächst eine Gebühr zahlen und ihre Identität bestätigen. Im Gegenzug gab es jedoch keine Belohnung.

Weiterhin verbreiteten Virenschreiber den Trojaner Android.RemoteCode.2958, der andere böswillige Apps auf Android-Geräte herunterlud. Android.Proxy.4 wurde aufgespürt, der infizierte Smartphones und Tablets in Proxy-Server verwandelte. Auch Kennungen für Adware.Sharf.2 und neue Vertreter der Adware.Patacore-Familie wurden in die Virendatenbank aufgenommen.

Hauptereignisse in der mobilen Sicherheitsszene im Februar 2019:

• Verbreitung von böswilligen Apps auf Google Play.

Frankfurt, 1. Februar 2019

Die Virenanalysten von Doctor Web verzeichneten für Januar 2019 viele interessante und beunruhigende Trends. Gegen Mitte des Monats wurden Krypto-Besitzer von einem Trojaner angegriffen, der sich unter dem Deckmantel eines nützlichen Programms verbreitete. Im Vergleich zum Vormonat stieg die Zahl der mit Trojaner.Winlock.14244 infizierten Geräte um 28%. Darüber hinaus wurden 50% mehr bösartige Dateien per Email versendet, welche Sicherheitslücken in Microsoft Office ausnutzten.

Bedrohung des Monats

Im Januar 2019 entdeckten die Virenanalysten von Doctor Web einen Trojaner innerhalb einer App zum Verfolgen von Kryptowährungskursen. Die Malware wurde zusammen mit dem Tool verbreitet und installierte weitere Trojaner auf infizierten Geräten. Mit diesen Programmen konnten Hacker persönliche Daten der Benutzer klauen - einschließlich der Passwörter aus Krypto-Wallets.

Mehr zum Trojaner.

Serverstatistik von Doctor Web

Trojan.Winlock.14244

Der Schädling blockiert den Zugriff auf das Betriebssystem und seine Hauptfunktionen und verlangt ein Lösegeld für die Entsperrung.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Trojan.DownLoader26.28109

Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.

Trojan.Encoder.11432

Auch als WannaCry bekannt. Der Schädling verschlüsselt Dateien der Nutzer und verlangt ein Lösegeld für die Dekodierung. Im Mai 2017 waren Geräte auf der ganzen Welt davon betroffen.

Trojan.Starter.7394

Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.

Trojan.MulDrop8.60634

Der Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.

Trojan.Zadved.1313

Die Werbe-App leitet Nutzer auf Webseiten der Werbetreibenden weiter und zeigt unerwünschte Werbung an.

Malware für E-Mail-Traffic

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Trojan.PWS.Stealer.23680

Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.

Trojan.Nanocore.23

Gefährlicher Trojaner, welcher auf Befehl der Cyber-Kriminellen die Kamera und das Mikrofon per Fernzugriff kontrollieren kann.

JS.Miner.28

JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt

Trojan.Fbng.8

Der Trojaner (auch unter dem Namen FormBook bekannt) klaut persönliche Daten des Nutzers vom infizierten Gerät und kann Befehle vom Server des Entwicklers erhalten.

Trojan.Encoder.26375

Der Trojaner verschlüsselt Daten der Opfer und verlangt ein Lösegeld für die Dekodierung.

JS.Miner.11

JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt.

Die böswilligen Aktivitäten von Trojan.SpyBot.699 gingen im Dezember leicht zurück, sind aber in den letzten drei Monaten immer noch sichtbar. Der Banking-Trojaner ermöglicht es Cyber-Kriminellen, verschiedene Apps auf das infizierte Gerät herunterzuladen, zu starten und deren Befehle auszuführen. Der Trojaner wurde entwickelt, um Geld von Bankkonten der Nutzer zu klauen.

Encoder

Support-Anfragen aufgrund von Encodern im Januar 2019:

• Trojan.Encoder.858 — 26.32%
• Trojan.Encoder.11464 — 12.63%
• Trojan.Encoder.11539 — 7.72%
• Trojan.Encoder.25574 — 1.58%
• Trojan.Encoder.567 — 5.96%
• Trojan.Encoder.5342 — 0.88%

Gefährliche Webseiten

Im Januar 2019 wurden 293.012 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Auf Google Play wurde im vergangenen Monat eine Vielzahl von Schädlingen aufgespürt. Darunter sind u.a. Vertreter von Android.DownLoader, die Android-Banker auf mobile Geräte herunterladen. Außerdem verbreiteten Cyber-Kriminelle Trojaner wie Android.HiddenAds.361.origin und Android.HiddenAds.356.origin. Nach dem Start versteckten sie ihre Desktop-Verbindungen und zeigten unerwünschte Werbung an. Ende Januar wurden mehrere Vertreter der Android.Click-Familie entdeckt, die auf Befehl eines Verwaltungsservers beliebige Webseiten aufrufen können. Außerdem wurden Nutzer von Android.Spy.525.origin bedroht. Dieser Bösewicht klaute deren sensiblen Daten.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung vieler neuer Schädlinge auf Google Play
• Verbreitung eines Trojaner-Spions

Frankfurt, 28. Dezember 2018

Im letzten Monat des Jahres 2018 gab es in der Malware-Szene keine bemerkenswerten Ereignisse. Nichtsdestotrotz ist unter den auf PCs gefundenen Schädlingen vor allem auf den in JavaScript geschriebenen Schadcode hinzuweisen. Der größte Teil des Schadcodes ist für das Herunterladen von weiteren schädlichen Apps und das unerlaubte Schürfen von Kryptowährung auf PCs gedacht. Auf Festplatten findet sich darüber hinaus u.a. der Banking-Trojaner Trojan.SpyBot.699. Mit seiner Hilfe können Cyber-Kriminelle Befehle auf einem Remote-PC ausführen lassen und weitere böswillige Apps starten.

Serverstatistik von Doctor Web

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten sowie Geld von Bankkonten klaut.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

VBS.DownLoader

Böswillige VBS-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Malware im E-Mail-Traffic

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten sowie Geld von Bankkonten klaut.

W97M.DownLoader

Trojaner, die Sicherheitslücken in Office-Apps ausnutzen und weitere böswillige Software auf einen Zielrechner herunterladen.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Encoder

Support-Anfragen aufgrund von Encodern im Dezember 2018:

• Trojan.Encoder.858 — 22.34% Anfragen;
• Trojan.Encoder.11464 — 11.71% Anfragen;
• Trojan.Encoder.11539 — 10.17% Anfragen;
• Trojan.Encoder.25574 — 5.08% Anfragen;
• Trojan.Encoder.567 — 4.93% Anfragen;
• Trojan.Encoder.5342 — 1.54% Anfragen.

Gefährliche Webseiten

Im Dezember 2018 wurden 257.197 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling Android.BankBot.495.origin ausfindig. Dieser griff Nutzer in Brasilien an, klaute ihre Online-Banking-Daten und konnte andere Apps wie Accessibility Service steuern. Darüber hinaus wurden auch Werbetrojaner wie Adware.HiddenAds und Adware.Patacore sowie weitere unerwünschte Apps aufgespürt. Auch eine neue Version der Spyware Program.Spyzie.1.origin, die das Ausspionieren von Nutzern ermöglicht, wurde entdeckt.

Hauptereignisse in der mobilen Sicherheitsszene:

• Verbreitung eines Banking-Trojaners, der Nutzer in Brasilien angreift;
• Entdeckung einer neuen Version von Spyware;
• Aufspürung mehrerer böswilliger und unerwünschter Apps auf Google Play.

Frankfurt, 28. Dezember 2018

Im vergangenen Jahr wurden Android-Nutzer erneut von einer Reihe böswilliger und unerwünschter Apps angegriffen. Viele dieser Apps wurden über Google Play verbreitet. Folgender Trend wird deutlich: Trojaner mit speziellen Methoden tarnen.

Eine der Hauptbedrohungen für Nutzer in den letzten 12 Monaten waren Android-Banker, die Finanzinstitute auf der ganzen Welt angriffen. Malware, die einen beliebigen Schadcode aus dem Internet herunterladen und ausführen konnte, stellte ebenfalls eine ernsthafte Bedrohung dar.

Virenautoren verbreiteten Trojaner, um betrügerische Programme zu implementieren, und setzten andere bösartige Apps ein, um an das Geld der Nutzer zu kommen. Darüber hinaus versuchten Cyber-Kriminelle mit Hilfe sogenannter Clipper, Kryptowährung zu klauen, indem sie die IDs von elektronischen Wallets in der Zwischenablage änderten.

Das Problem der Infizierung von Firmware in der Produktionsphase bleibt immer noch aktuell. Im Frühjahr entdeckten die Virenanalysten von Doctor Web einen Trojaner, der in Android eingebettet war. Über 40 Modelle mobiler Geräte wurden kompromittiert.

Die interessantesten Fälle

Anfang 2018 spürten die Virenanalysten von Doctor Web die Verbreitung von Android.CoinMine.15 auf. Der Trojaner infizierte Smart TVs, Router, Spielkonsolen sowie andere Android-Geräte über den Android Device Bridge Debugger. Zunächst generierte Android.CoinMine.15 zufällige IP-Adressen und versuchte, eine Verbindung zum Port 5555 aufzubauen. Wenn die Verbindung erfolgreich war, installierte er eine Kopie seines Trojaners auf einem zugänglichen Gerät inklusive der Software zum Schürfen von Monero (XMR).

Im März berichteten die Virenanalysten von Doctor Web von einem neuen Fall von Android.Triada.231. Der Schädling war in über 40 Modellen von Android-Smartphones und Tablets integriert. Unbekannte Täter betteten Android.Triada.231 in eine Systembibliothek auf Quellcode-Ebene ein, während andere Vertreter von Android.Triada in der Regel als eigenständige Apps verbreitet werden. Der Trojaner integriert sich in den Zygote-Prozess, der wiederum andere Apps startet. Als Folge infiziert Android.Triada.231 andere Prozesse und kann böswillige Funktionen ausführen. So kann er Apps gegen den Willen des Nutzers herunterladen, installieren oder deinstallieren.

Angreifer verwenden zunehmend Methoden, um die Erkennung von böswilligen und unerwünschten Apps zu verhindern. Im Jahr 2018 setzte sich dieser Trend fort. Eine beliebte Methode, die Präsenz von Malware zu vertuschen, ist der Einsatz von sogenannten Loadern. Diese können Trojaner und andere gefährliche Software für längere Zeit außerhalb der Reichweite von Virenschutzsoftware halten und bei potenziellen Opfern den Verdacht auf Malware verringern. Mit solchen Loadern können Cyber-Kriminelle verschiedene Schädlinge wie z.B. Spyware verbreiten.

Im April 2018 spürten die Virenanalysten von Doctor Web Android.DownLoader.3557 auf Google Play auf. Er lud sich auf Geräte der Nutzer herunter und forderte sie auf, Android.Spy.443.origin und Android.Spy.444.origin zu installieren. Diese Schädlinge verfolgten den Standort von Smartphones und Tablets, erhielten Informationen über alle zugänglichen Dateien, konnten Dokumente der Opfer an Cyber-Kriminelle senden sowie Kurznachrichten abfangen, Daten aus der Kontaktliste klauen, Videos aufzeichnen, Gespräche abhören und noch vieles mehr.

Im August konnten die Malwareanalysten von Doctor Web Android.DownLoader.784.origin auf Google Play ausfindig machen. Dieser lud einen anderen Schädlings namens Android.Spy.409.origin auf das Gerät des Opfers herunter. Android.DownLoader.784.origin wurde unter dem Deckmantel der Zee Player App verbreitet, die Nutzern erlaubte, Fotos und Videos zu verstecken. Die App war funktionsfähig und erregte beim Opfer keinen Verdacht auf Malware.

Downloader werden immer häufiger zur Verbreitung von Android-Banking-Trojanern eingesetzt. So wurde im Juli auf Google Play Android.DownLoader.753.origin entdeckt. Einige solcher Apps sind funktionsfähig, um zunächst das Vertrauen der Nutzer zu gewinnen. Android.DownLoader.753.origin lud verschiedene Banking-Trojaner zum Klauen von sensiblen Daten herunter und versuchte, diese zu installieren.

Später wurden weitere böswillige Apps auf Google Play entdeckt. Eine davon ist unter dem Namen Android.DownLoader.768.origin bekannt. Der Schädling wurde durch Cyber-Kriminelle unter dem Deckmantel der Shell-Software verbreitet. Ein weiterer Schädling namens Android.DownLoader.772.origin wurde als nützliches Tool verbreitet. Beide Trojaner wurden zum Herunterladen und Installieren von anderen Android-Bankern eingesetzt.

Downloader infizieren mobile Geräte mit anderer Malware. Im Oktober entdeckten die Virenanalysten von Doctor Web Android.DownLoader.818.origin, der auf Google Play unter dem Deckmantel eines VPN-Clients verbreitet wurde. Später entdeckten die Analysten in gefälschten Spielen mehrere Modifikationen dieser böswilligen App. Die Schädlinge wurden als Android.DownLoader.819.origin und Android.DownLoader.828.origin getauft und sollten nach Plan der Cyber-Kriminellen Werbe-Apps installieren. Mehr dazu in unserem Beitrag.

Böswillige Apps mit mehreren Modulen wurden immer häufiger eingesetzt. Jedes der Module führt bestimmte Funktionen aus. Dabei können Angreifer die Fähigkeiten der Trojaner bei Bedarf erweitern. Dieses Funktionsprinzip trägt dazu bei, dass die Erkennung von Bedrohungen verhindert werden kann. Virenautoren können diese Plug-ins schnell aktualisieren und neue hinzufügen, damit der Trojaner mit einem Minimum an Funktionen auskommt und weniger auffällig wird.

Die Virenanalysten von Doctor Web entdeckten einen solchen Schädling im Februar 2018 und nahmen ihn als Android.RemoteCode.127.origin in die Malwaredatenbank auf. Darüber wurde in diesem Beitrag ausführlich berichtet. Der Trojaner, der von 4.500.000 Nutzern installiert worden war, startete weitere böswillige Module. Eines der Plug-ins von Android.RemoteCode.127.origin installierte einen Patch, der in einem gewöhnlichen Bild versteckt war. Diese Methode zum Verstecken von böswilligen Objekten ist bekannt als Steganographie. Sicherheitsanalysten kennen diese Methode bereits, sie wurde aber bis dato durch Cyber-Kriminelle eher selten eingesetzt.

Nachdem sich der Schädling heruntergeladen und gestartet hatte, lud er ein anderes Bild mit dem versteckten Plug-in, welches später Android.Click.221.origin herunterlud und startete. Der Schädling rief Webseiten auf und klickte auf Links und Banner, um damit Geld für Kriminelle zu verdienen.

Beispiele von Bildern mit verschlüsselten Modulen von Android.RemoteCode.127.origin:

Android.RemoteCode.152.origin ist ein weiterer Trojaner, der den Schadcode herunterladen und ausführen kann. Der Schädling, der von über 6.500.000 Nutzern installiert worden war, lud verdeckt zusätzliche Module herunter und startete diese. Damit erstellte der Trojaner unsichtbare Banner, klickte auf diese und verdiente so das Geld für seine Virenschreiber.

Im Herbst wurde auch Android.Clipper.1.origin aufgespürt, der in der Zwischenablage Wallet-IDs von bekannten Zahlungssystemen wie Yandex.Money, Qiwi und Webmoney (R und Z) sowie Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH und Blackcoin unterschob. Beim Kopieren der ID in die Zwischenablage unterschob Android.Clipper.1.origin dem Nutzer eine andere ID. Unaufmerksame Nutzer konnten so ihr Geld unwissend an Cyber-Kriminelle überweisen.

Malware-Landschaft

Laut der Android-Statistik von Doctor Web wurden Android-Geräte vor allem durch Adware-Trojaner und Malware, die böswillige und unerwünschte Apps herunterlädt, sowie Trojaner, die Befehle von Cyber-Kriminellen ausführen, angegriffen.

Android.Backdoor.682.origin

Trojaner, der Befehle von Cyber-Kriminellen ausführt.

Android.Mobifun.4

Vertreter einer Trojaner-Familie, die unerwünschte Werbung anzeigt.

Android.HiddenAds

Vertreter einer Trojaner-Familie, die unerwünschte Werbung anzeigt.

Android.DownLoader.573.origin

Malware, die Apps von Virenschreibern herunterlädt.

Android.Packed.15893

Schädling, der durch Packprogramme geschützte Trojaner erkennt.

Android.Xiny.197

Trojaner, der andere Apps herunterlädt und löscht.

Android.Altamob.1.origin

Malware, die Apps von Virenschreibern herunterlädt.

Unter den unerwünschten und gefährlichen Apps, die auf Android-Geräten gefunden wurden, sind sogenannte Ad-Module am häufigsten anzutreffen. Auch Apps zum Herunterladen und Installieren von böswilliger Software wurden auf Smartphones und Tablets detektiert.

Adware.Zeus.1

Adware.Altamob.1.origin

Adware.Jiubang

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.SalmonAds.3.origin

Adware.Gexin.2.origin

Virenschreiber betteten unerwünschte Module in Apps ein, die aggressive Werbung anzeigen.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Potenziell gefährliche Programme zum Herunterladen und Installieren von Apps.

Banking-Trojaner

Banking-Trojaner bleiben nach wie vor eine gefährliche Bedrohung für Online-Banking-Nutzer. Diese Schädlinge klauen Logins und Passwörter von Online-Banking-Konten der Nutzer sowie weitere sensible Daten, um an das Geld der Nutzer zu kommen. Im Laufe der letzten 12 Monate wurden dank Dr.Web für Android über 110.000 Trojaner auf Smartphones und Tablets ausfindig gemacht. Sämtliche Malwarefunde im Jahresverlauf sind wie folgt abgebildet:

Auch Banking-Trojaner für Android wurden massenhaft verbreitet. Als Grundlage für die Entwicklung des Schädlings diente das online verfügbare Muster von Android.BankBot.149.origin. So konnten Cyber-Kriminelle mit Hilfe der Schädlinge Android.BankBot.250.origin und Android.BankBot.325.origin nicht nur persönliche Daten der Nutzer stehlen, sondern auch den Zugang zu infizierten Geräten bekommen.

Nutzer erlebten auch im Jahre 2018 erneut Angriffe von Banking-Trojanern, die es auf das Geld der Nutzer in Russland, der Türkei, Brasilien, Spanien, Deutschland, Frankreich sowie anderen Staaten abgesehen haben. Im Frühling haben die Virenanalysten von Doctor Web den Trojaner Android.BankBot.344.origin ausfindig gemacht. Dieser verbreitete sich unter dem Deckmantel einer Banking-App und attackierte die Kundschaft von einigen in Russland ansässigen Banken.

Android.BankBot.344.origin fragte beim potenziellen Opfer nach Login und Passwort für sein Online-Banking-Konto sowie nach seiner Kreditkartennummer und leitete diese Daten an Cyber-Kriminelle weiter.

Im Herbst machten die Virenanalysten von Doctor Web den Bösewicht Android.Banker.2876 ausfindig. Dieser verbreitete sich über Google Play. Cyber-Kriminelle setzten ihn zum Klauen von vertraulichen Daten von Kunden einiger europäischer Banken ein. Der Schädling fing Kurznachrichten, Telefonnummern sowie weitere persönliche Daten beim Opfer ab.

Im Dezember spürten die Virenanalysten von Doctor Web den Schädling Android.BankBot.495.origin auf Google Play auf. Dieser griff Nutzer in Brasilien an, klaute ihre Online-Banking-Daten und konnte andere Apps wie Accessibility Service steuern. Android.BankBot.495.origin zeigte auch gefälschte Formulare an und versuchte mit deren Hilfe, Logins und Passwörter der Nutzer herauszufischen.

Betrug

Cyber-Kriminelle setzen aktiv Malware für Android für ihre betrügerischen Kampagnen ein. 2018 wurde eine Reihe solcher Trojaner entdeckt. Einer davon ist Android.Click.245.origin. Er rief Webseiten auf, von denen Nutzer beliebige Apps herunterladen konnten, und fragte den Nutzer nach seiner Mobiltelefonnummer, an die später ein Verifizierungscode versendet wurde. So abonnierte der Schädling kostspielige Dienste für den naiven Nutzer. Gelegentlich wurde sogar automatisch ein Abo erstellt. Nachfolgend ein Beispiel dafür:

Unter den auf Google Play gefundenen Trojanern sind auch solche, die eine Webseite auf Befehl der Cyber-Kriminellen oder ihres Verwaltungsservers aufriefen. Dazu gehören u.a. Android.Click.415, Android.Click.416, Android.Click.417, Android.Click.246.origin, Android.Click.248.origin und Android.Click.458. In der Regel wurden diese Schädlinge für nützliche Apps (Kochbücher, Stimmenassistenten, Spiele usw.) ausgegeben.

Cyber-Kriminelle verbreiteten auch Android.FakeApp: Familie von Android-Trojanern, die schädliche Webseiten mit gefälschten Umfragen aufrufen. Nutzer wurden aufgefordert, für eine Entschädigung ein paar einfache Fragen zu beantworten. Um an der Umfrage teilzunehmen, sollten diese jedoch für Verifizierungszwecke einen kleineren Betrag überweisen. Kein Wunder, dass die Nutzer keine Geld-Zurück-Garantie hatten und so ihr Geld verloren.

Im Laufe des Jahres haben die Virenanalysten von Doctor Web mehrere böswillige Apps aufgespürt, darunter Android.FakeApp und Android.Click, die von mindestens 85.000 Android-Nutzern installiert wurden.

Aussichten und Trends

Auch 2019 werden Nutzer mobiler Geräte wieder mit Angriffen von Banking-Trojanern rechnen müssen. Autoren von Viren & Co. werden die Funktionalität von Schädlingen weiter verbessern. Es ist wahrscheinlich, dass sich mehr Android-Banker in multifunktionale Malware verwandeln werden.

Auch die Zahl der betrügerischen Apps und Werbetrojaner wird zunehmen. Virenschreiber werden weiterhin versuchen, die Rechenleistung von Android-Geräten zum Schürfen von Kryptowährung anzuzapfen. Es ist nicht ausgeschlossen, dass es in der Zukunft weitere Fälle von Firmware-Infektionen gibt.

Cyber-Kriminelle werden weiterhin an ihren Methoden zum Umgehen von Virenschutzsoftware feilen. Böswillige Apps mit neuen Funktionsprinzipien und neuen Methoden zum Entwenden von vertraulichen Daten können auftauchen. Diese können mobile Geräte und Eye-Tracking-Techniken verwenden, um getippte Meldungen abzulesen. Darüber hinaus könnte neue Malware maschinelle Lernalgorithmen und andere Mittel der künstlichen Intelligenz zum Vorteil von Angreifern einsetzen.

Frankfurt, 28. Dezember 2018

Das Jahr 2018 wurde in erster Linie durch die Verbreitung von Mining-Trojanern gekennzeichnet. Diese wurden von Cyber-Kriminellen zum Schürfen von Kryptowährung verwendet. Auch neue Schädlinge für Windows und Linux behelligten die Nutzer. Encoder, die Daten der Nutzer verschlüsselten und für die Dekodierung ein Lösegeld verlangten, haben immer noch hohe Positionen im Malware-Ranking inne. So spürten die Virenanalysten von Doctor Web im Februar und April 2018 zwei Trojaner auf, die trotz aller Zusicherungen, die Dekodierung nach Bezahlung des Lösegeldes durchzuführen, die beschädigten Daten nicht wiederherstellen konnten.

Ende März nahmen die Virenanalysten von Doctor Web den Trojaner Trojan.PWS.Stealer.23012, der sich auf YouTube verbreitete, unter die Lupe. Der Schädling war auf Python geschrieben und zum Klauen sensibler Daten von infizierten Geräten gedacht. Infolge der Ermittlungen wurde der Entwickler des Schädlings und dessen Versionen ausfindig gemacht. Später wurde ein weiterer Cyber-Krimineller identifiziert, der persönliche Daten von Steam-Nutzern mit Hilfe von Trojan.PWS.Steam.13604 klaute. Die Tätigkeiten eines weiteren Bösewichts, der mit dem unerlaubten Schürfen von Kryptowährungen zehntausende US-Dollar verdiente, wurden ebenfalls entlarvt.

Cyber-Kriminelle waren das ganze Jahr aktiv, indem sie ihre Opfer auf gefälschte Websites lockten und mit Massenmailings belästigten. Die Betrüger verschickten zu Beginn des Jahres gefälschte Mails im Namen von Mail.Ru Group, um Logins und Passwörter der Nutzer herauszufinden. Im Frühjahr versendeten sie dann vermeintliche Entschädigungsangebote. Im Sommer belästigten sie weiterhin Domain-Administratoren, indem sie sich als vermeintliche Mitarbeiter von RU-CENTER ausgaben und von ihren Opfern Geld für die Verlängerung von Domainnamen verlangten.

Auch Android-Nutzer wurden von Cyber-Kriminellen belästigt. So wurden 2018 auf Google Play infizierte Spiele aufgespürt, die über 4.500.000 Mal heruntergeladen wurden. Später wurde ein Android-Miner identifiziert, der 8% smarter Geräte wie Fernseher, Spielkonsolen, Router sowie weitere IoT-Geräte infizieren konnte.

Im Verlaufe des Jahres warnten Virenanalysten die Android-Nutzer vor der Verbreitung von Banking-Trojanern. Darüber hinaus wurden Fälschungen beliebter Android-Apps entdeckt, die von den Angreifern für Phishing-Zwecke verwendet wurden. Einige Android-Trojaner meldeten Nutzer für verschiedenste kostenpflichtige Dienste an, andere verdienten an ihren Opfern durch unsichtbare Werbung, während die dritten wiederum andere Malware auf das infizierte Gerät herunterluden.

Interessanteste Fälle im Jahr 2018

Im Februar 2018 wurde ein neuer Verschlüsselungstrojaner entdeckt. Dieser wurde von den Virenschreibern als Trojan.Encoder.24384. getauft. Der Schädling verschlüsselte Inhalte von Festplatten sowie Wechseldatenträgern und Network Values. Den verschlüsselten Dateien gab er die Erweiterung *.GDCB. Nach seinem Start auf dem infizierten Rechner prüfte er, ob dort eine Virenschutzsoftware installiert war. Anschließend brach er alle laufenden Apps ab und installierte sich im System. Nach dem Neustart des Rechners verschlüsselte Trojan.Encoder.24384 Dateien auf der Festplatte – mit der Ausnahme von Inhalten aus Dienst- und Systemordern.

Ein weiterer Erpressungstrojaner hieß Trojan.Encoder.25129. Nach seinem Start prüfte dieser den Standort des Benutzers gemäß der IP-Adresse des infizierten Gerätes. Nach Plan der Cyber-Kriminellen unterließ der Schädling die Verschlüsselung, wenn sich die IP-Adresse des Gerätes in Russland, Weißrussland oder Kasachstan befand, oder in den Einstellungen des Betriebssystems die russische Sprache definiert war. Aufgrund eines Fehlers im Code verschlüsselte der Schädling jedoch alle Dateien auf dem infizierten Gerät. Nachdem er dies getan hatte, zeigte er seine Forderung nach Lösegeld an.

Obwohl die Erpresser behaupteten, sie könnten den Betroffenen helfen, war dies wegen einem Fehler im Code des Bösewichts nicht möglich.

Ende März wurde durch die Virenanalysten von Doctor Web Trojan.PWS.Stealer.23012 entdeckt, der Dateien und weitere sensible Daten von Windows-Geräten klaut. Links zum Trojaner wurden durch Cyber-Kriminelle auf YouTube gepostet. In vielen YouTube-Videos werden betrügerische Spielmethoden unter Einsatz bestimmter Tools behandelt. Cyber-Kriminelle versuchten dabei, Schädlinge für solche Tools auszugeben. Der Trojaner sammelte Cookies sowie gespeicherte Logins und Passwörter auf dem infizierten PC, machte Bildschirmaufnahmen und kopierte Dateien vom Arbeitsplatz. Die geklauten Daten wurden zusammen mit Geo-Daten der infizierten Geräte an den Server von Cyber-Kriminellen geschickt.

Einen Monat später konnten die Virenanalysten von Doctor Web den Autor dieser Trojaner identifizieren. Der Schädling und seine vielfältigen Versionen klauten Passwörter und Cookies-Dateien aus Chromium-Browsern, Telegram, dem FTP-Client FileZilla sowie Bilder gemäß der vordefinierten Liste. Eine Version des Schädlings wurde auf Telegram-Channels aktiv beworben. Der Entwickler dieser Schädlinge integrierte die geklauten Logins und Passwörter in seine Malware und machte sich dadurch für Virenanalysten von Doctor Web sichtbar.

Der Entwickler der Schädlinge Trojan.PWS.Steam.13604 und Trojan.PWS.Steam.15278 erfand eine spezielle Methode zu deren Verbreitung. Cyber-Kriminelle, die mit Hilfe von Malware etwas Geld verdienen wollten, mussten nur noch die Malware bezahlen und eventuell über eine Domain verfügen. Der Virenschreiber stellte seinen Kollegen danach den Trojaner selbst sowie einen Zugang zur Verwaltungsoberfläche und den Support bereit.

Die Malwareanalysten von Doctor Web kennen die Verbreitungsmethode via Update-Verfahren bereits und konnten z.B. die Schädlinge Trojan.Encoder.12544 (Petya, Petya.A, ExPetya und WannaCry-2) aufspüren. Diese drangen in Systeme der Computerclubs und Internetcafés ein und infizierten im Zeitraum vom 24. Mai bis 4. Juli 2018 über 2.700 PCs.

Im September wurde Trojan.PWS.Banker1.28321 entdeckt, der sich unter dem Deckmantel von Adobe Reader verbreitete und Kunden von einigen Banken in Brasilien bedrohte.

Der Trojaner unterschob Nutzern gefälschte Login-Webseiten zum Eingeben von Login und Passwort. In einigen Fällen wurde man aufgefordert, einen Verifizierungscode, der an die Mobiltelefonnummer des Nutzers versendet wurde, einzugeben. All diese Daten wurden dann an Cyber-Kriminelle weitergeleitet. Die Malwareanalysten von Doctor Web haben insgesamt 340 Muster von Trojan.PWS.Banker1.28321 und 129 Domains und IP-Adressen, die Übeltätern gehörten, entdeckt.

Eine weitere Recherche zeigte, dass ein Übeltäter eine ganze Reihe von Schädlingen wie Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony usw. für Phishing-Zwecke eingesetzt und eine gefälschte Kryptowährungsbörse gestartet hat, sowie einen Pool von Mining-Geräten Dogecoin zum Mieten angeboten und ein Partnerprogramm lanciert hat.

Online-Lotterien waren ein weiteres Projekt dieses Übeltäters. Als Preisgeld galt ein bestimmter Betrag in der Kryptowährung Dogecoin. In solchen Lotterien gewinnt man bekanntlich nichts.

Im November 2018 wurde durch die Virenanalysten von Doctor Web noch ein Schädling namens Trojan.Click3.27430 aufgespürt. Der Trojaner wurde für das Generieren von Fake-Traffic entwickelt und läuft unter dem Deckmantel der App DynDNS, die es angeblich ermöglichen soll, die Subdomain ohne IP-Adresse an den Rechner anzubinden. Zur Verbreitung des Trojaners wurde eine spezielle Webseite erstellt.

Aufgrund dieses Trojaners sind bis heute insgesamt 1.400 Nutzer zu Schaden gekommen. Die ersten Fälle waren bereits 2013 bekannt. Mehr zu diesem Trojaner finden Sie in folgendem Beitrag.

Alles rund um Viren & Co

Gemäß der Statistik von Doctor Web waren 2018 der auf JavaScript geschriebene Schadcode, Spyware und böswillige Downloader auf PCs der Nutzer am häufigsten zu finden. Mit Hilfe des Schadcodes versuchten Cyber-Kriminelle, fremde Inhalte in Webseiten einzubetten und Kryptowährungen zu schürfen.

JS.Inject

Böswillige JavaScript-Szenarien, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.Starter.7394

Trojaner, der im infizierten System eine ausführbare Datei mit einem bestimmten Funktionsumfang startet.

Trojan.Encoder.567

Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

VBS.BtcMine

Auf VBS geschriebene JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Die Analyse des E-Mail-Traffics zeigt ein ähnliches Bild auf. In Anhängen ist jedoch weiterhin Spyware häufiger anzutreffen:

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

JS.Inject

Böswillige JavaScript-Szenarien, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.

Trojan.Encoder.567

Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.

Trojan.DownLoader

Böswillige Trojaner, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.PWS.Stealer

Trojaner, die auf infizierten PCs Logins, Passwörter und weitere sensible Daten klauen.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Encoder

2018 gab es im Vergleich zu 2017 weniger Anfragen aufgrund der Infizierung durch Verschlüsselungstrojaner. Der Monat Januar verzeichnete ein Jahrestief. Ein Jahreshoch gab es im November.

Support-Anfragen aufgrund von Encodern im Jahr 2018:

• Trojan.Encoder.858 — 19,83% Anfragen;
• Trojan.Encoder.11464 — 9,64% Anfragen;
• Trojan.Encoder.567 — 5,08% Anfragen;
• Trojan.Encoder.11539 — 4,79% Anfragen;
• Trojan.Encoder.25574 — 4,46% Anfragen.

Malware für Linux

Unter den böswilligen Apps für Linux zeigten sich 2018 Mining-Trojaner besonders aktiv. Die ersten Angriffe auf Linux-Server wurden durch die Virenanalysten von Doctor Web Anfang Mai 2018 registriert. Cyber-Kriminelle bauten eine Verbindung zum Server via SSH auf, suchten mit Hilfe der Bruteforce-Methode nach Login und Passwort des Nutzers und deaktivierten nach ihrer erfolgreichen Autorisierung das Tool iptables, welches für die Verwaltung der Firewall verantwortlich ist. Anschließend luden sie einen Mining-Trojaner und seine Konfigurationsdatei auf den Zielrechner herunter. Später wurde dafür eine andere Malware verwendet. So wurde im August der auf Go erstellte Schädling Linux.BtcMine.82 ausfindig gemacht, welcher auf dem infizierten Gerät einen Mining-Trojaner installierte.

Die Virenanalysten von Doctor Web fanden auf demselben Server weitere Trojaner für Microsoft Windows.

Linux.BtcMine.174 ist nicht der erste Mining-Trojaner, der den Malwareanalysten von Doctor Web auffällt. Der Schädling ist vor allem dadurch interessant, dass er auf dem Rechner nach installierter Virenschutzsoftware sucht und diese dann deinstalliert. Der Trojaner ist in der sh-Sprache geschrieben, enthält über 1.000 Codezeilen und besteht aus mehreren Komponenten, die vom Server der Cyber-Kriminellen heruntergeladen werden. Nach erfolgreicher Installation lädt er den Schädling Linux.BackDoor.Gates.9 herunter, der für DDoS-Angriffe eingesetzt wird.

Gefährliche und nicht empfohlene Webseiten

In die Datenbanken von Office Control und Web-Antivirus SpIDer Gate werden regelmäßig neue Adressen von nicht empfohlenen und potenziell gefährlichen Webseiten aufgenommen. Darunter sind u.a. böswillige Webseiten und Phishing-Ressourcen, von denen böswillige Programme verbreitet werden, zu finden. Das nachfolgende Diagramm zeigt die Verteilung von gefundenen nicht empfohlenen und potenziell gefährlichen Webseiten.

Cyber-Kriminelle im Netz

Betrug gab es schon immer im Netz – das Jahr 2018 war hier keine Ausnahme. So wurde Anfang März ein Massenversand von Phishing-Mails im Namen von Mail.Ru Group registriert. Um an Logins und Passwörter von Mail.Ru-Nutzern zu kommen, erstellten Unbekannte eine ähnliche Webseite des beliebten Dienstes.

Im Mai 2018 berichtete Doctor Web von neuen Methoden der Cyber-Betrüger, die Nutzer über massenhafte Spam- und Phishing-Mails auf speziell angefertigte Webseiten lockten. Die Spammer versprachen, Überzahlungen für Sozial- und Krankenkassenversicherungen zu erstatten. Um die Rückerstattung zu erhalten, sollten einfältige Nutzer einen kleinen Betrag auf das Konto der Betrüger überweisen. Selbstverständlich gab es danach keine Rückerstattung.

Die Virenanalysten von Doctor Web spürten 110 ähnliche Webseiten auf, die von Netzbetrügern im Zeitraum von Februar bis Mai 2018 erstellt wurden. Im August 2018 wurden Domainadministratoren angegriffen, die früher Dienstleistungen von RU-CENTER genutzt haben. Mitte des Monats erhielten sie E-Mails, die angeblich von RU-CENTER stammten. In den Phishing-Mails wurde behauptet, dass Rechnungen für die Registrierung von Domains innerhalb von einem Tag ab Datum des E-Mail-Einganges bezahlt werden sollten.

LBetrüger versenden häufig E-Mails im Namen bekannter Unternehmen. Betroffen war diesmal der Online-Shop Aliexpress, dessen Stammkunden Phishing-Mails mit der Einladung, Links zu Aktionen und Rabatten zu folgen, erhalten haben.

In der Tat war der Online-Shop nichts anderes als eine Sammlung von Links, die den Nutzer zu betrügerischen Marktplätzen weiterleiteten. Die Frage, wie die Kriminellen in den Besitz der Kundendatenbank von Aliexpress gekommen sind, bleibt immer noch unbeantwortet.

Malware für mobile Geräte

Nutzer von Android-Geräten erlebten auch im Jahr 2018 Angriffe von vielen böswilligen Apps. Darunter waren u.a. Banking-Trojaner, die es auf das Geld der Nutzer in Russland, der Türkei, Brasilien, Spanien, Deutschland, Frankreich sowie anderen Staaten abgesehen haben. Im Frühling haben die Virenanalysten von Doctor Web den Trojaner Android.BankBot.344.origin ausfindig gemacht. Dieser verbreitete sich unter dem Deckmantel einer Banking-App und attackierte Kunden von einigen in Russland ansässigen Banken. Android.BankBot.344.origin fragte beim potenziellen Opfer nach Login und Passwort für sein Online-Banking-Konto sowie nach seiner Kreditkartennummer und leitete diese Daten an Cyber-Kriminelle weiter.

Im November 2018 haben die Virenanalysten von Doctor Web Android.Banker.2876 ausfindig gemacht, der sich über Google Play verbreitete. Cyber-Kriminelle setzten ihn zum Klauen von vertraulichen Daten von Kunden einiger europäischer Banken ein. Der Schädling fing Kurznachrichten, Telefonnummer und andere persönliche Daten der Opfer ab.

Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling Android.BankBot.495.origin Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling Android.BankBot.495.origin zeigte auch gefälschte Formulare an und versuchte mit deren Hilfe, Logins und Passwörter der Nutzer herauszufinden.

Auch Banking-Trojaner für Android wurden aktiv verbreitet. Als Grundlage für die Entwicklung des Schädlings diente das frei zugängliche Muster von Android.BankBot.149.origin. So konnten Cyber-Kriminelle mit Hilfe der Schädlinge Android.BankBot.250.origin und Android.BankBot.325.origin nicht nur persönliche Daten der Nutzer klauen, sondern auch den Zugang zu infizierten Geräten ergaunern.

Viele Banking-Trojaner gelangten auf Geräte der Nutzer dank Trojanern wie Android.DownLoader.753.origin, Android.DownLoader.768.origin und Android.DownLoader.772.origin. Cyber-Kriminelle gaben diese als nützliche Apps aus. In der Tat dienten sie der Verbreitung anderer böswilliger Apps wie z.B. Android.Spy.409.origin und Android.Spy.443.origin sowie Werbetrojaner wie Android.HiddenAds.710 und Android.HiddenAds.728.

Auch 2018 haben Trojaner der Familie Android.RemoteCode Android-Nutzer verfolgt. Auf infizierten Geräten konnten sie einen beliebigen Code starten. Der im Februar aufgespürte Schädling Android.RemoteCode.127.origin lud Hilfsmodule herunter und startete andere böswillige Plug-ins. Um seine Präsenz zu vertuschen, verschlüsselte er seine Komponenten.

Ein weiterer Trojaner unter dem Namen Android.RemoteCode.152.origin lud Werbemodule herunter und startete diese. Anschließend wurden unsichtbare Banner erstellt, auf die Android.RemoteCode.152.origin immer wieder klickte und so für Cyber-Kriminelle das Geld verdiente.

Cyber-Kriminelle griffen auch auf andere Methoden zurück, um mit Hilfe der Schädlinge an Geld zu kommen. So setzten sie den Mining-Trojaner Android.CoinMine.15 ein, der Android-Geräte wie Router, Spielkonsolen, Mediaplayer und Smart TVs infizierte. Android.CoinMine.15 verbreitete sich als Wurm und drang in Geräte ein, die den Port 5555 offen hatten. Dieser Port wurde durch die Android Device Bridge (ADB) verwendet.

Im Herbst wurde auch Android.Clipper.1.origin aufgespürt, der in der Zwischenablage Wallet-IDs von bekannten Zahlungssystemen wie Yandex.Money, Qiwi und Webmoney (R und Z) sowie Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH und Blackcoin unterschob. Beim Kopieren der ID in die Zwischenablage unterschob Android.Clipper.1.origin dem Nutzer eine andere ID. Unaufmerksame Nutzer konnten so ihr Geld unwissend an Cyber-Kriminelle überweisen.

Trojaner wurden auch in Betrugskampagnen eingesetzt. In einem Fall wurde Nutzern für die Teilnahme an der Umfrage eine Entschädigung versprochen, die aber gemäß Regel der Kriminellen nur überwiesen werden konnte, wenn Nutzer selbst einen kleinen Betrag an Cyber-Betrüger überwiesen. Nach der Überweisung des Geldes war von den Umfrage-Autoren nichts mehr zu hören. In einem weiteren Fall wurden von Kriminellen sogenannte Klicker eingesetzt, die durch das Klicken auf Anzeigen Geld für ihre Besitzer verdienen sollten.

Trojaner wie bspw. Android.Click.245.origin setzten auf eine andere Methode. Sie riefen Webseiten auf, von denen Nutzer beliebige Apps herunterladen konnten, und fragten Nutzer nach ihren Mobiltelefonnummern. An diese wurden anschließend Verifizierungscodes versendet. So wurden kostspielige Dienste abonniert. In einigen Fällen erfolgte das Abonnieren sogar automatisch.

2018 wurden auch Fälle mit der Infizierung von Android-Firmware registriert. Einer solcher Fälle war die Infizierung von über 40 Smartphone- und Tablet-Modellen durch Android.Triada.231. Die Übeltäter schleusten den Schädling in den Quellcode einer Systembibliothek ein. Android.Triada.231 startete automatisch beim Einschalten von Smartphones und Tablets. Bei seinem Start bettete er sich in den Prozess namens Zygote ein, der auch für den Start anderer Prozesse verantwortlich war. Dabei agierte er unsichtbar für Nutzer und konnte Apps verdeckt herunterladen, installieren und deinstallieren.

Trends

Obwohl es 2018 keine großen Epidemien gab, ist eine massive Verbreitung von Malware in der Zukunft wahrscheinlich. Böswillige Szenarien in verschiedenen Sprachen werden sich weiterhin vermehren und nicht nur Microsoft Windows, sondern auch andere Plattformen wie Linux gefährden.

Auch neue Mining-Trojaner, die Hardware-Ressourcen infizierter Geräte verdeckt ausnutzen, werden Nutzern zusetzen. Das Interesse der Cyber-Kriminellen am IoT wird weiter steigen: Trojaner für smarte Geräte gibt es bereits und in naher Zukunft wird deren Anzahl sicherlich wachsen.

Es gibt jeden Grund zur Annahme, dass Virenschreiber 2019 neue Trojaner für Google Android entwickeln und verbreiten werden. Die Trends des vergangenen Jahres zeigen, dass Werbe- und Banking-Trojaner mit großer Wahrscheinlichkeit die mobile Malware dominieren werden.

Es ist eher unwahrscheinlich, dass betrügerische E-Mails und Newsletter verschwinden: Cyber-Kriminelle werden weiter an neuen Betrugsmethoden tüfteln. Deshalb ist es wichtig, einen zuverlässigen Schutz gegen Viren & Co. zu haben!

Frankfurt, 30. November 2018

Im November 2018 haben die Virenanalysten von Doctor Web einen Mining-Trojaner für Linux erforscht, der die auf dem PC installierte Virenschutzsoftware deinstallieren kann. Außerdem haben sie einen Windows-Clicker und mehrere böswillige Apps für Android ausfindig gemacht.

Bedrohung des Monats

Der Trojaner wird unter dem Namen Trojan.Click3.27430 in der Dr.Web Virendefinitonsdatei gelistet und wurde für das Generieren von Fake-Traffic entwickelt. Der Schädling läuft unter dem Deckmantel der App DynDNS, die es angeblich ermöglichen soll, die Subdomain ohne IP-Adresse an den Rechner anzubinden. Zur Verbreitung des Trojaners wurde eine spezielle Webseite erstellt.

Von dieser Webseite wird ein Archiv mit der Datei setup.exe heruntergeladen, die eine andere Datei herunterlädt. Diese Datei wird als ARJ-Archiv getarnt, welches einen Trojaner und die App DynDNS installiert. Wenn der Nutzer entscheidet, die App zu deinstallieren, wird nur die App DynDNS deinstalliert. Trojan.Click3.27430 wird nicht gelöscht und kann seine böswilligen Aktivitäten weiter durchführen. Mehr zu diesem Trojaner finden Sie in diesem Beitrag.

Serverstatistik von Doctor Web

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.MulDrop

Trojaner, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.Encoder.11432

Wurm, der auch unter dem Namen WannaCry bekannt ist.

Malware im E-Mail-Traffic

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Encoder.26375

Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.

Encoder

Support-Anfragen aufgrund von Encodern im November 2018:

• Trojan.Encoder.858 — 32.15% Anfragen;
• Trojan.Encoder.11464 — 11.17% Anfragen;
• Trojan.Encoder.11539 — 10.80% Anfragen;
• Trojan.Encoder.25574 — 4.91% Anfragen;
• Trojan.Encoder.567 — 1.35% Anfragen;
• Trojan.Encoder.10700 — 1.35% Anfragen.

Gefährliche Webseiten

Zu den gängigen Methoden der Cyber-Kriminellen gehört das sogenannte Phishing, mit dem einem Opfer eine speziell erstellte Webseite oder ein Formular untergeschoben wird, welches vertrauliche Nutzerdaten wie Benutzername und Passwort an Cyber-Kriminelle weiterleitet. Diese wiederum können die Daten zur Erpressung der Nutzer verwenden.

Im November 2018 wurden mehrere Kampagnen registriert, in denen Cyber-Kriminelle Nutzer aufforderten, auf einen Link zu klicken, um die Deaktivierung von E-Mail-Konten abzubrechen.

Der Link führte zu einem speziell erstellten Formular, das Benutzerdaten wie Benutzername und Passwort an Cyber-Kriminelle weiterleitete. Das Analystenteam von Doctor Web machte mehrere Webseiten dieser Art ausfindig und trug sie in die Datenbank von nicht erwünschten Webseiten ein.

Im November 2018 wurden 231.074 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für Linux

Linux.BtcMine.174 ist nicht der erste Mining-Trojaner, der den Virenanalysten von Doctor Web bekannt ist. Dieser Schädling ist vor allem dadurch interessant, dass er auf dem Rechner nach installierter Virenschutzsoftware sucht und diese deinstalliert.

Der Trojaner stellt ein Szenario dar, das in der sh-Sprache geschrieben ist und über 1.000 Codezeilen enthält. Der Bösewicht besteht aus mehreren Komponenten, die vom Server der Cyber-Kriminellen heruntergeladen werden. Nach erfolgreicher Installation lädt er den Schädling Linux.BackDoor.Gates.9 herunter, welcher für DDoS-Angriffe eingesetzt wird.

Nachdem sich Linux.BtcMine.174 im System eingenistet hat, sucht er nach Prozessen anderer Mining-Trojaner und bricht diese ab. Wenn Linux.BtcMine.174 nicht durch den Administrator gestartet wurde, nutzt er Exploits, um seine Privilegien hochzufahren. Außerdem lädt der Schädling einen Rootkit herunter und startet diesen, um Daten zur Netzwerkstruktur zu sammeln und Netzwerkkomponenten zu infizieren. Mehr zu diesem Trojaner finden Sie in unserem Beitrag.

Andere Ereignisse

Gemäß Statistik war Trojan.SpyBot.699 der am meisten verbreitete Schädling auf Rechnern und im E-Mail-Traffic. Der Bösewicht wird durch die Hackergruppe «RTM» verbreitet und stellt einen Banking-Trojaner dar.

Die schädlichen Funktionen von Trojan.SpyBot.699 sind in der dynamischen Bibliothek core.dll enthalten. Der Trojaner trägt sich im Autostart von Windows ein und verschlüsselt alle an den Server übertragenen Daten.

Nach Befehl von Cyber-Kriminellen ist Trojan.SpyBot.699 in der Lage, ausführbare Dateien herunterzuladen, zu speichern, sich auszuführen, sich zu aktualisieren, digitale Zertifikate zu installieren und Befehle von außen auszuführen.

Der Bösewicht ist in der Lage, nach Online-Banking-Clients in geöffneten Fenstern, in Dateien und Browser-Cookies zu suchen. Nachdem sich Trojan.SpyBot.699 im System eingenistet hat, kann er sich in Online-Banking-Clients einbetten und Geld vom Bankkonto eines Opfers stehlen. Dr.Web macht Trojan.SpyBot.699 sowie alle seine schädlichen Module ausfindig und neutralisiert diese.

Malware für mobile Geräte

Im November 2018 haben die Analysten von Doctor Web Android.Banker.2876 entdeckt, der sich über Google Play verbreitete. Cyber-Kriminelle setzten ihn zum Klauen von vertraulichen Daten von Kunden einiger europäischer Banken ein. Außerdem wurden auf Google Play weitere Bedrohungen entdeckt, u.a. Android.DownLoader.832.origin. Der Schädling lud andere Apps herunter und installierte diese auf dem Gerät. Auch mit Hilfe von Android.FakeApp wollten Cyber-Kriminelle an Nutzern verdienen. Das Analystenteam entdeckte darüber hinaus auch mehrere Apps mit Werbe-Modulen: Adware.HiddenAds.

Hauptereignisse in der mobilen Sicherheitsszene:

• Verbreitung von böswilligen und unerwünschten Apps auf Google Play.

Frankfurt, 20. November 2018

Das verdeckte Schürfen von Kryptowährungen gehört heutzutage zum am meist verbreiteten kriminellen Geschäft. Das Team von Doctor Web entdeckte vor kurzem einen Mining-Trojaner, der Rechner unter Linux infizieren kann. Der Schädling kann auch andere Netzwerkgeräte infizieren und die auf dem PC installierte Virenschutzsoftware löschen.

Der Trojaner, welcher als Linux.BtcMine.174 in die Dr.Web Virendefinitionsdatei eingetragen wurde, stellt das in der sh-Sprache geschriebene Skript dar und enthält über 1.000 Zeilen Code. Der Schädling besteht aus mehreren Komponenten. Beim Starten prüft der Trojaner die Verfügbarkeit des Servers, von dem weitere böswillige Module heruntergeladen werden. Anschließend sucht er nach einem Verzeichnis mit Schreibprivilegien, in dem diese Module platziert werden. Danach wird das Skript ins vordefinierte Verzeichnis verschoben und startet als Daemon. Dafür nutzt der Trojaner das Tool nohup. Wenn das Tool im System nicht verfügbar ist, lädt er das Toolpaket coreutils mit dem bereits erwähnten nohup-Tool herunter.

Bei einer erfolgreichen Installation lädt der Trojaner eine Version von Linux.BackDoor.Gates.9 herunter. Die Backdoors dieser Familie ermöglichen die Übermittlung von Befehlen der Cyber-Kriminellen und die Durchführung von DDoS-Angriffen.

Nach seiner Installation sucht Linux.BtcMine.174 nach Konkurrenz, die auch Kryptowährungen schürfen kann, und bricht Prozesse dieser böswilligen Programme ab. Wenn Linux.BtcMine.174 nicht durch den Benutzer (mit root-Rechten) gestartet wurde, nutzt der Schädling eine Reihe von Exploits aus. Die Virenanalysten von Doctor Web entdeckten mindestens zwei Exploits, die Linux.BtcMine.174 ausnutzt: Linux.Exploit.CVE-2016-5195 (auch bekannt als DirtyCow) und Linux.Exploit.CVE-2013-2094. Die aus dem Internet heruntergeladenen DirtyCow-Dateien werden auf dem infizierten Gerät kompiliert.

Anschließend versucht der Schädling Services von Virenschutzsoftware mit den Namen safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord zu finden. Sobald der Trojaner einen dieser Services entdeckt, bricht er nicht nur seinen Prozess ab, sondern löscht auch die Dateien und das Verzeichnis, in dem die Virenschutz-App installiert war.

Anschließend trägt sich Linux.BtcMine.174 im Autostart ein, lädt ein Rootkit herunter und startet dieses auf dem infizierten PC. Dieses Modul ist auch als sh-Skript verfügbar und basiert auf dem früher frei verfügbaren Quellcode. Zu den Funktionen des Rootkit-Moduls gehört der Diebstahl von Benutzerdaten durch den su-Befehl, das Verdecken von Dateien im Dateisystem, Netzwerkverbindungen und Prozessen. Der Trojaner sammelt Daten über Netzwerke, mit denen früher via ssh verbunden wurde, und versucht, diese zu infizieren.

Nach all diesen Schritten startet Linux.BtcMine.174 einen Mining-Trojaner, der die Kryptowährung Monero (XMR) schürfen soll. Anschließend prüft der Trojaner, ob dieser Mining-Trojaner läuft, und startet ihn bei Bedarf neu. Er baut auch eine Verbindung zum Server der Cyber-Kriminellen auf und lädt verfügbare Updates herunter.

Linux.BtcMine.174 und seine Komponenten werden durch Dr.Web für Linux erfolgreich entdeckt und neutralisiert. Der Schädling stellt deshalb keine Gefahr für Dr.Web Nutzer dar.

Eine vollständige Liste mit den Indikatoren einer Infizierung finden Sie hier https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.

Mehr zum Trojaner

Frankfurt, 31. Oktober 2018

Im Oktober 2018 hat Doctor Web die Ergebnisse einer Recherche zur Tätigkeit eines Cyber-Kriminellen veröffentlicht. Die Zahl der geschädigten Opfer, die wegen der Betrugsaktionen mindestens 24.000 US-Dollar verloren haben, liegt bei ca. 10.000 Nutzern.

Im Laufe des Monats versendete eine Gruppe von Übeltätern E-Mails, in denen sie von Nutzern Geld für die Nicht-Veröffentlichung ihrer persönlichen Daten forderten. Die Cyber-Kriminellen konnten den Zugang zu einer Datenbank mit E-Mail-Adressen und Passwörtern der Nutzer erlangen und verschickten an diese E-Mail-Adressen Nachrichten, dass auf ihren Rechnern ein Schädling installiert sei und ihre Passwörter den Kriminellen längst bekannt seien. Für die Nicht-Veröffentlichung der persönlichen Daten verlangten die Erpresser ein Lösegeld in Bitcoins, das umgerechnet Beträgen in Höhe von 500 bis 850 US-Dollar entspricht.

Die Kriminellen nutzen dabei mehrere Bitcoin-Geldbörsen. Gemäß Informationen auf der Webseite blockchain.com sind mehrere Opfer auf das Angebot der Übeltäter reingefallen.

In letzter Zeit ist diese Erpressungsmethode bei Cyber-Kriminellen äußerst beliebt. Sie versenden massenhaft E-Mails mit Übereinstimmungen von Benutzernamen und Passwörtern. Die Erpresser setzen keine Viren oder Trojaner ein, um an die Daten zu gelangen. Nutzer können sich gegen solche Angriffe schützen, indem sie neue Passwörter anlegen.

Bedrohung des Monats

Das Team von Doctor Web führte eine große Recherche durch und teilte deren Ergebnisse im Oktober. Im Rampenlicht der Recherche stand ein Cyber-Krimineller, der sich unter den Namen Investimer, Hyipblock und Mmpower versteckte. Dieser Bösewicht setzte in seinem kriminellen Geschäft ein breites Arsenal an Tools ein, u.a. Stealer, Downloader, Encoder und Miner mit dem integrierten Modul zur Unterschiebung der Inhalte aus der Zwischenablage.

Zum Spezialgebiet von Investimer gehörten Kryptowährungen. Die Methoden, mit denen er Kryptowährungen sammelte, sind vielfältig: Er entwickelte Webseiten von nicht existierenden Kryptobörsen, Mining-Farms, Partnerprogrammen und Online-Lotterien.

Das Beuteschema des Cyber-Kriminellen sah folgendermaßen aus: Der Betrüger lockte das Opfer auf verschiedenen Wegen auf eine böswillige Webseite, von der es ein vermeintliches Client herunterladen sollte. Unter dem Deckmantel des Clients versteckte sich ein Trojaner, der auf Befehl des Kriminellen weiteren Schadcode auf dem Rechner des Opfers installierte. Solche Programme (meistens waren es sogenannte Stealer) klauten aus dem infizierten System sensible Daten, die später zum Gelddiebstahl aus Krypto-Wallets und Bezahlungssystemen verwendet wurden.

Die Analysten von Doctor Web gehen davon aus, dass die Gesamtzahl von Nutzern, die wegen solcher Betrugsaktivitäten zu Schaden kamen, bei ca. 10.000 liegt. Die Schadenschätzung liegt bei etwa 24.000 US-Dollar. Dazu gehören auch 182.000 Dogecoins, was umgerechnet 900 US-Dollar entspricht. Mehr zu dieser Recherche finden Sie hier.

Serverstatistik von Doctor Web

JS.BtcMine

Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.

Trojan.Starter.7394

Trojaner, der im infizierten System eine ausführbare Datei mit böswilligen Funktionen startet.

Trojan.Encoder.11432

Verschlüsselungstrojaner, der auch unter dem Namen WannaCry bekannt ist.

Malware im E-Mail-Traffic

JS.BtcMine

Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.

W97M.DownLoader

Trojaner, die Schwachstellen in MS-Office-Apps ausnutzen und Malware auf Zielrechner herunterladen.

Trojan.Encoder.26375

Schädling, der Dateien auf dem Rechner verschlüsselt und Lösegeld für die Entschlüsselung fordert.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.

Encoder

Support-Anfragen aufgrund von Encodern im Oktober 2018:

• Trojan.Encoder.858 — 20.04% Anfragen;
• Trojan.Encoder.11464 — 11.67% Anfragen;
• Trojan.Encoder.567 — 6.23% Anfragen;
• Trojan.Encoder. 25574 — 5.84% Anfragen;
• Trojan.Encoder.1539 — 4.86% Anfragen;
• Trojan.Encoder.5342 — 1.75% Anfragen.

Gefährliche Webseiten

Im Oktober 2018 wurden 156.188 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Anfang Oktober wurde ein neuer Trojaner namens Android.BankBot.1781 in die Virendatenbank von Doctor Web aufgenommen. Dieser kann Module von App-Diensten herunterladen und starten sowie den C#-Schadcode kompilieren und ausführen. Etwas später wurde auf Google Play eine Reihe von Schädlingen entdeckt, unter denen sich auch Android.FakeApp.125 und Android.Click.245.origin befanden. Diese Schädlinge zeigten z.B. verfälschte Webseiten an.

Ende Oktober wurden auf Google Play Downloader wie Android.DownLoader.818.origin und Android.DownLoader.819.origin entdeckt. Diese luden weitere Android-Trojaner auf mobile Geräte und installierten sie.

Außerdem erforschte das Analystenteam von Doctor Web die Trojaner Android.RemoteCode.192.origin und Android.RemoteCode.193.origin, die sich als harmlose Apps ausgaben.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung von Schadcode auf Google Play;
• Verbreitung eines gefährlichen Banking-Trojaners, der den Schadcode blitzschnell kompilieren und ausführen kann.

Mehr zur Lage in der mobilen Sicherheitsszene erfahren Sie hier.

Frankfurt, 19. Oktober 2018

Download-Trojaner werden durch Cyber-Kriminelle zur Verbreitung von anderen Trojanern verwendet. Das Analystenteam von Doctor Web entdeckte einen von solchen Trojanern auf Google Play. Dieser versteckte sich in einem VPN-Client.

Der Trojaner, dem der Name Android.DownLoader.818.origin zugewiesen wurde, wurde in den VPN-Client Turbo VPN ­ Unlimited Free VPN & Proxy eingebettet. Die App wurde von über 11.000 Android Nutzern heruntergeladen. Der Name der böswilligen App ist fast wortgleich mit dem beliebten VPN-Client Turbo VPN Unlimited Free VPN & Fast Security VPN des Unternehmens Innovative Connecting, welches keinen Bezug zur Fälschung hat. Die Übeltäter gaben Android.DownLoader.818.origin für bekannte Software aus und versuchten somit, potenzielle Opfer zu täuschen.

Beim Starten versuchte Android.DownLoader.818.origin sich Lese- und Schreibrechte zu sichern. Danach forderte er Administratorprivilegien an.

Android.DownLoader.818.origin ermöglichte die Arbeit mit VPN-Netzwerken. Dessen Entwickler haben auch den offenen Quellcode aus dem Projekt OpenVPN for Android verwendet. Benutzer, die diese App installiert haben, konnten sie aber nicht verwenden. Nachdem der Schädling Systemprivilegien bekam, löschte er seine Verbindung aus der App-Liste des Hauptbildschirms. Der VPN-Client konnte ab diesem Zeitpunkt nicht mehr selbständig gestartet werden.

Unsichtbar für den Nutzer lud der Schädling eine apk-Datei und speicherte diese auf der SD-Karte. Anschließend versuchte er den Nutzer zu überzeugen, die App zu installieren. Ein Beispiel einer solchen Meldung, mit der Android.DownLoader.818.origin den Nutzer dazu zwang, die App zu installieren, ist wie folgt:

Zum Zeitpunkt der Analyse stellte eine ausführbare Datei den Trojaner Android.HiddenAds.710 dar, der zum Anzeigen von Werbung gedacht ist. Je nach Einstellungen des Servers und Zielen des Übeltäters kann Android.DownLoader.818.origin eine andere böswillige App herunterladen und installieren.

Der IT-Sicherheitsspezialist Doctor Web benachrichtigte Google über den Malwarefund auf Google Play. Anschließend wurde der Schädling aus dem Katalog entfernt.

Alle oben erwähnten Trojaner stellen keine Gefahr für Dr.Web Nutzer dar. Dr.Web für Android spürt diese erfolgreich auf und löscht sie von mobilen Endgeräten.

• Mehr zu Android.DownLoader.818.origin
• Mehr zu Android.HiddenAds.710

Frankfurt, 28. September 2018

Der Monat September 2018 wurde durch die Verbreitung eines Banking-Trojaners gekennzeichnet, der PCs von Kunden brasilianischer Banken infizierte. Das Analystenteam von Doctor Web entdeckte über 300 unterschiedliche Muster dieses Schädlings sowie knapp 130 Marktplätze, von denen der Schädling eigene Komponenten lud. Außerdem wurde eine Reihe neuer gefährlicher Apps für Android-Nutzer ausfindig gemacht.

Bedrohung des Monats

Banking-Trojaner, die Konten von Bankkunden plündern, sind weltweit verbreitet. Ein neuer Schädling, der es auf Bankkunden in Brasilien abgesehen hat, wurde nun vom Analystenteam von Doctor Web unter die Lupe genommen. Registriert wurde er als Trojan.PWS.Banker1.28321. Zum jetzigen Zeitpunkt sind den Virenanalysten von Doctor Web 340 verschiedene Muster von Trojan.PWS.Banker1.28321 und 129 Domains und IP-Adressen bekannt, von welchen diese böswillige Archive herunterladen.

Der Trojaner verbreitete sich als App für PDF-Dateien Adobe Reader und infizierte Rechner unter dem Betriebssystem eMicrosoft Windows, in dem Portugiesisch als Benutzersprache eingestellt ist. Alle böswilligen Funktionen von Trojan.PWS.Banker1.28321 sind in einer verschlüsselten und gepackten Bibliothek, die der Schädling von Webseiten der Cyber-Kriminellen herunterlädt, enthalten.

Wenn der Benutzer Webseiten von brasilianischen Banken öffnet, spielt ihm der Schädling ein gefälschtes Formular zur Eingabe seines Benutzernamens und Passworts zu. In einigen Fällen fordert der Schädling den Benutzer auf, einen Code einzugeben, den er via SMS erhalten haben soll. Anschließend werden gesammelte Daten durch den Bösewicht an Cyber-Kriminelle weitergeleitet.

Serverstatistik von Doctor Web

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Encoder.567

Encoder, die Dateien auf dem Rechner verschlüsseln und Lösegeld für die Entschlüsselung fordern.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.

Trojan.PWS.Stealer.1932

Trojaner, der auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Malware im E-Mail-Traffic

Trojan.Encoder.567

Schädling, der Dateien auf dem Rechner verschlüsselt und Lösegeld für die Entschlüsselung fordert.

JS.BtcMine

Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

W97M.DownLoader

Trojaner, die Schwachstellen in MS-Office-Apps ausnutzen und Malware auf Zielrechner herunterladen.

Encoder

Support-Anfragen aufgrund von Encodern im September 2018:

• Trojan.Encoder.567 — 16,94% Anfragen;
• Trojan.Encoder.858 — 12,71% Anfragen;
• Trojan.Encoder.11464 — 10,68% Anfragen;
• Trojan.Encoder.25574 — 4,79% Anfragen;
• Trojan.Encoder.24249 — 4,42% Anfragen;
• Trojan.Encoder.11539 — 1,84% Anfragen.

Gefährliche Webseiten

Im September 2018 wurden 271.605 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Endgeräte

Im September 2018 konnten die Virenanalysten von Doctor Web die Verbreitung von Android.Click auf Google Play registrieren. Viele Apps, die dieser Familie angehören, gaben Cyber-Kriminelle als Apps von Wettannahmestellen aus. Diese Trojaner öffneten Webseiten von existierenden Wettannahmestellen, konnten aber jederzeit ihre eigenen betrügerischen Inhalte unterschieben. Außerdem ist Android.Click.265.origin auf Google Play wieder vorgedrungen und hat sich unter den Namen bekannter Firmen verbreitet. Android.Click.265.origin lädt Webseiten mit Premium-Services und bestätigt kostenpflichtige Abos der Nutzer ohne deren Wissen.

Unter den auf Google Play entdeckten Schädlingen finden sich auch die Banking-Trojaner Android.Banker.2855, Android.Banker.2856 und Android.Banker.283.origin. Diese versteckten sich in Apps, die auf den ersten Blick als harmlos erscheinen. Das Gegenteil ist jedoch der Fall.

Darüber hinaus haben Cyber-Kriminelle im September 2018 den gefährlichen Spion Android.Spy.460.origin verbreitet. Zu weiteren von Dr.Web aufgespürten Bedrohungen gehören Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin und Program.Spymaster.2.origin. Diese böswilligen Apps überwachen den SMS- und Anrufverlauf der Nutzer, orten Lokalitäten, wo sich die Nutzer befinden, verschieben ihre Kontakte aus dem Telefonbuch auf einen Remote-Server und können die Chronik der Webbrowser sowie weitere sensible Informationen klauen.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung von böswilligen Apps auf Google Play
• Verbreitung von Spyware
• Aufspürung eines kostenpflichtigen Schädlings, der Android-Nutzer ausspioniert.

Frankfurt, 31. August 2018

Im August 2018 konnten die Virenanalysten von Doctor Web Mining-Trojaner ausfindig machen, die Kryptowährung - ohne Wissen der Anwender - geschürft haben. Diese Schädlinge waren nicht nur für Windows-, sondern auch für Linux-Geräte bestimmt. Cyber-Kriminelle wollten so das begehrte digitale Geld verschwinden lassen.

Außerdem wurde die Dr.Web Virendatenbank um neue Signaturen für Android-Trojaner erweitert.

Bedrohung des Monats

Der Schädling, der in der Dr.Web Virendefinitionsdatei unter dem Namen Linux.BtcMine.82, geführt wird, wurde bereits im Juni diesen Jahres eingesetzt. Der Trojaner ist auf Go geschrieben und stellt einen Dropper dar, welcher einen gepackten Mining-Trojaner enthält. Dieser Dropper speichert den Schädling auf einer Festplatte und führt diesen aus – so beginnt der Mining-Trojaner die Kryptowährung Monero (XMR) zu schürfen. Das Analyseteam von Doctor Web hat mehrere Mining-Trojaner für Windows auf dem Server von Cyber-Kriminellen entdeckt.

Alle entdeckten Schädlinge wurden selbstverständlich in die Dr.Web Virendatenbank aufgenommen.

Serverstatistik von Doctor Web

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Encoder.11432

Wurm, der auch unter dem Namen WannaCry bekannt ist.

Trojan.BtcMine

Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.

Win32.HLLW.Shadow

Wurm, der für seine Verbreitung Wechseldatenträger und Network Volumes ausnutzt. Außerdem kann sich der Schädling mit Hilfe des SMB-Protokolls verbreiten, vom Remote-Server eine Datei herunterladen und diese ausführen.

Malware im E-Mail-Traffic

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Trojan.Encoder.567, Trojan.Encoder.25843

Encoder, die Dateien auf dem Rechner verschlüsseln und Lösegeld für die Entschlüsselung fordern.

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Inject

Trojaner, die Schadcode in Webseiten einbetten.

Encoder

Support-Anfragen aufgrund von Encodern im August 2018:

• Trojan.Encoder.858 — 20,00% Anfragen
• Trojan.Encoder.11464 — 14,23% Anfragen
• Trojan.Encoder.25574 — 9,24% Anfragen
• Trojan.Encoder.567 — 3,46% Anfragen
• Trojan.Encoder.24249 — 3,45% Anfragen
• Trojan.Encoder.10700 — 2,50% Anfragen

Gefährliche Webseiten

Im August 2018 wurden Domainadministratoren attackiert, die früher Dienstleistungen des Domainregistrierungsdienstes RU-CENTER in Anspruch genommen haben. Mitte des Monats erhielten sie E-Mails, die angeblich von diesem Unternehmen stammen. In den E-Mails wurde behauptet, dass Rechnungen für die Registrierung von Domains innerhalb von einem Tag ab Datum des E-Mail-Einganges beglichen werden sollten.

Der Link führte zu einer gehackten Webseite, deren Adresse in die Datenbank von nicht empfohlenen Webseiten aufgenommen wurde. Das böswillige Szenario leitete Anwender auf die Seite von Yandex.Money, wo Betrüger an ihr Geld kommen konnten. Mehr dazu finden Sie hier.

Im August erhielten viele Anwender E-Mails, in denen Cyber-Kriminelle Lösegeld für nicht veröffentlichte und vermeintlich heikle Videos von Nutzern gefordert haben. Das Lösegeld sollte in Bitcoins gezahlt werden und betrug umgerechnet mehrere Tausend Euro.

Sicherlich ist dies eine Falle für einfältige Nutzer. Das Analyseteam von Doctor Web empfiehlt, keine gleichen Logins und Passwörter für verschiedene Webseiten zu verwenden und diese regelmäßig zu ändern.

Im August 2018 wurden 538.480 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Endgeräte

Im August 2018 entdeckten die Virenanalysten von Doctor Web den Trojaner Android.Clipper.1.origin, der in Zwischenspeichern von Android-Geräten Wallet-Nummern unterschob. Außerdem konnten die Analysten eine Reihe von böswilligen Banking-Apps entdecken, die als angeblich harmlose Apps verbreitet wurden: Android.Banker.2843 und Android.Banker.2855. Weiterhin versuchten Cyber-Kriminelle mobile Geräte durch Schädling wie Android.DownLoader.768.origin, Android.DownLoader.772.origin und Android.DownLoader.784.origin zu infizieren, indem sie auf Smartphones und Tablets der Anwender Malware heruntergeladen haben. Ausfindig machte man auch Vertreter der Familie Android.Click. Die Cyber-Kriminellen haben mit Hilfe dieser Apps ihr Geld verdient. Ein weiterer Trojaner, der auch diesem Zweck diente, heißt Android.FakeApp.110. Er verbreitete sich ebenfalls über Google Play. Unter den entdeckten böswilligen Programmen ist auch Android.Spy.490.origin zu finden, der in beliebige Apps eingebettet und als Original-App verbreitet werden konnte.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung eines Trojaners, der Wallet-Nummern in Zwischenspeichern von Android-Geräten unterschiebt
• Entdeckung von Malware auf Google Play
• Verbreitung von Banking-Trojanern
• Entdeckung von Spyware

Frankfurt, 31. Juli 2018

Anfang Juli haben die Sicherheitsanalysten von Doctor Web einen Trojaner analysiert, der sich einer ungewöhnlichen Verbreitungsmethode bediente. Im Laufe des Monats zeigten sich auch Spammer aktiv, die betrügerische Webseiten beworben haben. Zudem wurde die Dr.Web Virendefinitionsdatei um neue Signaturen für Android-Schädlinge erweitert.

Bedrohung des Monats

Die Malwareanalysten von Doctor Web kennen die Verbreitungsmethode via Update-Verfahren bereits. So konnten z.B. die Schädlinge Trojan.Encoder.12544 (Petya, Petya.A, ExPetya und WannaCry-2) und BackDoor.Dande in Systeme der Anwender eindringen.

Im Juli 2018 teilte ein Anwender dem technischen Support von Doctor Web mit, dass er auf seinem PC immer wieder eine Mining-App entdecken konnte, die jedes Mal durch Virenschutzsoftware entfernt wurde. Während der Untersuchung stellten die Virenanalysten von Doctor Web fest, dass eine App zur Automatisierung von Prozessen für ein erneutes Auftauchen des Schädlings verantwortlich war.

Über Updates lud diese App Malware herunter und installierte den Mining-Trojaner Trojan.BtcMine.2869. Zum 9. Juli konnten die Malwareanalysten von Doctor Web 2.700 PCs ausfindig machen, die durch diesen Trojaner infiziert wurden.

Mehr zum Trojaner lesen Sie hier.

Serverstatistik von Doctor Web

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.DownLoader

Familie von Trojanern auf JavaScript, die auf dem infizierten Gerät weitere Malware herunterlädt.

Trojan.Starter.7394

Trojaner, der im infizierten System eine Datei mit einem gewissen Funktionenset startet.

Malware im Email-Traffic

JS.Inject

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.BtcMine

Szenario auf JavaScript, welches Kryptowährung schürft.

Trojan.PWS.Stealer

Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.

Trojan.Inject

Familie von Trojanern, die den Schadcode in Prozesse anderer Programme integriert.

Encoder

Support-Anfragen aufgrund von Encodern im Juli 2018:

• Trojan.Encoder.858 — 17.69% Anfragen;
• Trojan.Encoder.25574 — 11.38% Anfragen;
• Trojan.Encoder.11464 — 8.06% Anfragen;
• Trojan.Encoder.567 — 5.08% Anfragen;
• Trojan.Encoder.5342 — 3.85% Anfragen;
• Trojan.Encoder.24249 — 3.33% Anfragen.

Gefährliche Webseiten

Im Juli 2018 konnten die Virenanalysten von Doctor Web mehrere betrügerische E-Mail-Kampagnen entdecken. So haben Spammer im Namen von Yandex die Anwender aufgefordert, die Verknüpfung der E-Mail-Adresse mit einem Konto auf passport.yandex.ru zu bestätigen. Der Link, den die Empfänger erhielten, führte auf die Webseite von Yandex, der andere aber führte das Opfer zur Webseite von Cyber-Kriminellen, die einen Geldbetrag für das versprochene Geschenk forderten.

In anderen betrügerischen E-Mails gab es auch Links zum Service Google Docs, wo Cyber-Kriminelle das Bild reCAPCHA imitierten und mit dessen Hilfe Nutzer auf Phishing-Webseiten weiterleiteten.

Die Adressen sämtlicher betrügerischer Webseiten wurden in die Datenbank nicht empfohlener Webseiten hinzugefügt.

Im Juli 2018 wurden insgesamt 512.763 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im Juli 2018 wurden auf Google Play mehrere Schädlinge entdeckt. Einer davon war Android.Banker.2746, der ein gefälschtes Fenster für die Eingabe von persönlichen Daten beim Starten von Banking-Apps anzeigte. Ein weiterer Schädling, der als Android.DownLoader.753.origin getauft wurde, lud Banking-Trojaner für Android vom Server der Übeltäter herunter, um die Entdeckung auf Google Play zu verhindern. Unter den verbreiteten Trojanern gab es auch andere Banking-Trojaner. Dazu gehörte u.a. Android.BankBot.279.origin, der beim Aufrufen von böswilligen Webseiten automatisch auf mobile Geräte heruntergeladen wurde. Darüber hinaus verbreiteten Cyber-Kriminelle eine Backdoor-App, die Sicherheitsspezialisten von Doctor Web seit April 2017 bekannt ist. Diese App spionierte Nutzer aus und verbreitete einen Wurm, der Rechner unter Windows infizierte. Außerdem wurde kommerziell verwendete Spyware wie Program.Shadspy.1.origin und Program.AppSpy.1.origin entdeckt und analysiert.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung von Trojanern auf Google Play
• Verbreitung von Banking-Trojanern für Android
• Verbreitung einer Android-Backdoor, die Rechner unter Windows infiziert
• Entdeckung von neuen kommerziell verwendeten Spyware-Schädlingen

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie in unserem Bericht.

Frankfurt, 31. Juli 2018

Im Juli 2018 haben Cyber-Kriminelle Android.Backdoor.554.origin verbreitet, welche den Virenanalysten von Doctor Web seit April 2017 bekannt ist. Die Backdoor spionierte Nutzer aus und konnte ihre infizierten Geräte per Fernzugriff verwalten. Android.Backdoor.554.origin versteckte sich in einem Windows-Wurm, den diese auf eine SD-Karte eines mobilen Gerätes kopierte, um später Rechner unter Windows zu infizieren. Im vergangenen Monat haben Cyber-Kriminelle weiterhin Android-Smartphones und -Tablets mit Hilfe von Banking-Trojanern angegriffen. Android.Banker.2746 z.B. konnte sogar von Google Play heruntergeladen werden. Andere Trojaner wurden durch den auch auf Google Play verfügbaren Schädling Android.DownLoader.753.origin heruntergeladen. Zu den weiteren Schädlingen, die durch Cyber-Kriminelle verbreitet wurden, zählt auch Android.BankBot.279.origin, der als nützliche App gepriesen wurde. Des weiteren wurden zwei neue Spion-Programme entdeckt, die folgende Namen bekamen: Program.Shadspy.1.origin und Program.AppSpy.1.origin.

Mobile Bedrohung des Monats

Im Juli 2018 wurde ein erneuter Angriff gegen Android-Nutzer durch Android.Backdoor.554.origin registriert. Der Trojaner verbreitete sich unter dem Deckmantel von neuen WhatsApp- und Telegram-Versionen sowie wichtigen System-Updates.

Android.Backdoor.554.origin führte Befehle von Cyber-Kriminellen aus und erlaubte es ihnen, die infizierten Geräte zu kontrollieren. Der Trojaner ermittelte außerdem den Standort von Android-Geräten, fing Chats in beliebten Nachrichtendiensten ab, bekam Zugang zu Anrufen und Kurznachrichten sowie zu Kontakten aus dem Adressbuch. Darüber hinaus versteckte der Schädling einen Windows-Wurm, der Win32.HLLW.Siggen.10482 heißt. Nach der Infizierung eines mobilen Geräts kopierte Android.Backdoor.554.origin einen Wurm in Bildverzeichnisse auf der SD-Karte. Die ausführbare Datei von Win32.HLLW.Siggen.10482 mit der Erweiterung .pif, bekam den Namen eines Verzeichnisses, wo sie platziert wurde. Beim nächsten Kopieren und Öffnen dieser Verzeichnisse lief der Nutzer Gefahr, den Wurm auszuführen.

Liste von Verzeichnissen, wo der Trojaner Android.Backdoor.554.origin den Schädling Win32.HLLW.Siggen.10482 platzierte:

Beispiele von erfolgreichen Kopiervorgängen mit Bildern auf der SD-Karte eines infizierten Android-Gerätes:

Statistik von Dr.Web für Android

Android.Altamob.1.origin

Werbe-Plattform, die böswillige Module unsichtbar herunterlädt und startet.

Android.HiddenAds.288.origin

Android.HiddenAds.524

Trojaner, die lästige Werbung anzeigen, sich als beliebte Apps verbreiten und ins Systemverzeichnis installieren.

Android.Mobifun.4

Trojaner, der andere böswillige Apps herunterlädt.

Android.Xiny.197

Trojaner, der böswillige Apps herunterlädt und installiert.

Adware.SalmonAds.3.origin

Adware.Altamob.1.origin

Adware.Appalytic.1.origin

Adware.Adtiming.1.origin

Adware.Jiubang.2

Unerwünschte Module, die in Android-Apps eingebettet werden.

Banking-Trojaner

Im vergangenen Monat wurde auf Google Play ein weiterer Trojaner entdeckt, der nach der Klassifikation von Doctor Web den Namen Android.DownLoader.753.origin trägt. Der Schädling wurde als Finanz-App verbreitet. Einige Versionen des Schädlings konnten in der Tat Funktionen erfüllen, die restlichen waren nutzlos und boten Nutzern an, eine andere Online-Banking-App auf Google Play herunterzuladen und zu installieren.

Android.DownLoader.753.origin konnte vom Remote-Server einen Trojaner der Familie Android.BankBot herunterladen und versuchte, diesen zu installieren, indem er einen Standarddialog der Installation anzeigte.

Die Virenanalysten von Doctor Web nahmen einen weiteren Android-Trojaner unter die Lupe. Der Schädling heißt Android.Banker.2746 und wurde durch Virenschreiber auf Google Play verbreitet, indem er als vermeintliche Online-Banking-App ausgegeben wurde.

Mit Hilfe des Schädlings versuchten Cyber-Kriminelle, den Zugang zu Kundenkonten bei türkischen Banken zu ergaunern. Android.Banker.2746 zeigte ein verfälschtes Login-Formular an und fing Kurznachrichten mit Prüfcodes ab.

Zu Banking-Trojanern, die Nutzer im vergangenen Monat attackierten, gehört auch Android.BankBot.279.origin. Übeltäter verbreiteten diesen über betrügerische Websites. Der Trojaner wurde dabei als harmlose oder nützliche App wie Adobe Flash Player, Messaging-Clients, VPN-Clients usw. heruntergeladen. Android.BankBot.279.origin überwachte die auf dem Handy oder Tablet installierten Online-Banking-Apps und zeigte ein verfälschtes Formular, über das Cyber-Kriminelle Nutzerdaten herausfischen wollten. Außerdem konnte der Banking-Trojaner den PIN-Code anpassen oder das infizierte Gerät sperren.

Websites, von denen Android.BankBot.279.origin heruntergeladen wurde:

Spyware

Im vergangenen Monat konnten die Malwareanalysten von Doctor Web kommerziell eingesetzte Spyware ausfindig machen. Die erste App wurde als Program.AppSpy.1.origin getauft. Der Schädling überwacht den Standort eines mobilen Geräts, hört Telefonate und fängt Kurznachrichten ab. Der zweite Schädling bekam den Namen Program.Shadspy.1.origin. Diese böswillige App verfügt über eine erweiterte Funktionalität: Abfangen von Telefongesprächen und Kurznachrichten, Standortermittlung für Geräte, unerlaubte Audioaufnahme, Kopieren der Chronik aus dem Webbrowser sowie von Daten über geplante Ereignisse aus dem Kalender, unerlaubte Videoaufnahmen usw. Bei root-Privilegien kann Program.Shadspy.1.origin auch Chats in Facebook und WhatsApp klauen.

Banking-Trojaner stellen für Besitzer von mobilen Geräten eine ernsthafte Gefahr dar. Cyber-Kriminelle verbreiten Malware nicht nur über betrügerische Websites, sondern auch über Google Play. Um sich zuverlässig gegen Android-Trojaner zu schützen, installieren Sie Dr.Web für Android!

Frankfurt, 16. April 2018

Die Malwareanalysten von Doctor Web haben einen neuen Encoder unter die Lupe genommen. Aufgrund eines Fehlers im Code ist die Entschlüsselung von Daten in den meisten Fällen nicht möglich.

Der neue Trojaner wurde als Trojan.Encoder.25129 getauft. Durch den Dr.Web Präventivschutz wird er als DPH:Trojan.Encoder.9 erkannt. Nach seinem Start prüft er den Standort des Benutzers gemäß IP-Adresse des infizierten Geräts. Laut Plan der Cyber-Kriminellen nimmt der Schädling von der Verschlüsselung Abstand, wenn die IP-Adresse des Gerätes in Russland, Weißrussland oder Kasachstan ist, oder in den Einstellungen des Betriebssystems die russische Sprache definiert ist. Aufgrund eines Fehlers im Code verschlüsselt der Schädling jedoch alle Dateien - unabhängig von der IP-Adresse - auf allen infizierten Geräten.

Trojan.Encoder.25129 verschlüsselt den Inhalt der Ordnern eines aktuellen Benutzers, seines Windows-Desktops sowie von Dienstverzeichnissen wie AppData und LocalAppData. Die Verschlüsselung erfolgt unter Einsatz von Algorithmen AES-256-CBC. Den verschlüsselten Dateien wird die Erweiterung .tron zugewiesen. Dateien mit einer Größe von 30.000.000 Byte (ca. 28.6 MB) werden nicht verschlüsselt. Nach Abschluss der Verschlüsselung erstellt der Trojaner die Datei %ProgramData%\\trig und trägt den Wert «123» ein (wenn eine solche Datei bereits existiert, wird die Verschlüsselung nicht durchgeführt). Anschließend sendet der Encoder seine Anfrage an die Webseite iplogger und zeigt seine Forderung nach Lösegeld an.

Das Lösegeld variiert von 0,007305 bis 0,04 Bitcoins. Nach dem Klick auf HOW TO BUY BITCOIN zeigt der Schädling Instruktionen an, wie man Bitcoins kaufen kann.

Obwohl die Erpresser behaupten, sie könnten den Betroffenen helfen, indem sie ihre Daten entschlüsseln, ist dies wegen einem Fehler im Code des Trojaners in den meisten Fällen jedoch nicht möglich.

Dr.Web Nutzer sind gegen den Verschlüsselungsschädling geschützt, weil dieser durch den Dr.Web Präventivschutz erfolgreich erkannt und entfernt wird. Nichtsdestotrotz ist die Sicherung von wichtigen Daten immer gut.

Frankfurt, 23. März 2018

Der IT-Sicherheitsspezialist Doctor Web warnt vor einem neuen Trojaner, der auf einem infizierten Gerät Dateien sowie andere sensible Daten klaut. Der damit verbundene Datenverlust kann dazu führen, dass Cyber-Kriminelle den Zugang zu verschiedenen Konten des Opfers in Online-Services und sozialen Netzwerken bekommen.

Der als Trojan.PWS.Stealer.23012 getaufte Schädling ist auf Python geschrieben und infiziert Rechner unter Microsoft Windows. Die Verbreitung des Trojaners geht auf den 11. März 2018 zurück und dauert bis heute an. Cyber-Kriminelle posten Links in Kommentaren zu Video-Spots auf YouTube. In vielen solcher Videos wird auf vermeintliche Spiel-Techniken mit Hilfe spezieller Software hingewiesen. Cyber-Kriminelle versuchen, den Trojaner als eben diese Tools auszugeben. Alle Links führen zu Yandex.Disk. Um den Benutzer zu überzeugen, auf den Link zu klicken, werden mehrere Kommentare unter verfälschten Konten verfasst. Beim Klicken auf den Link wird ein RAR-Archiv heruntergeladen, welches einen Trojaner enthält.

Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er folgende Daten:

• Dateien Cookies aus Browsern Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• Gespeicherte Logins/Passwörter aus den genannten Browsern;
• Bildschirmaufnahmen.

Er kopiert darüber hinaus Dateien mit folgenden Erweiterungen vom Windows-Desktop: ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".

Alle übermittelten Daten speichert Trojan.PWS.Stealer.23012 im Verzeichnis C:/PG148892HQ8. Anschließend verpackt er sie ins Archiv spam.zip, das zusammen mit Geo-Daten des infizierten Geräts an den Server von Cyber-Kriminellen übermittelt wird.

Die Virenanalysten von Doctor Web haben mehrere Muster des Trojaners entdeckt. Ein Teil davon wird als Trojan.PWS.Stealer.23198 erkannt. Alle bekannten Modifikationen des Schädlings werden durch Dr.Web Antivirus erfolgreich entdeckt und stellen deshalb keine Gefahr für Dr.Web Nutzer dar.

Mehr zum Trojaner.

Frankfurt, 13. März 2018

Die Malware-Analysten von Doctor Web entdecken auf Google Play Android-Trojaner, die als bekannte Apps verbreitet werden. Die gefälschten Apps können beliebige Webseiten auf Befehl von Cyber-Kriminellen laden und anzeigen. Diese Funktion kann zum Ausführen von Phishing-Angriffen verwendet werden.

Die entdeckten Apps tragen Namen von bekannten Apps und besitzen ähnliche Benutzeroberflächen. Die Malware-Analysten von Doctor Web haben gefälschte QIWI-App-Software (russischer Zahlungsdienstleister), Sberbank Online, Odnoklassniki und VK (beliebte soziale Netzwerke) und NTV (russischer Fernsehsender) gefunden.

Im Folgenden wird gezeigt, wie Cyber-Kriminelle potenzielle Opfer austricksen. In der linken Abbildung sehen Sie die gefälschte App, die Sie bei Google Play finden, in der rechten Abbildung sehen Sie die echte App.

Jedes Mal, wenn die gefälschten Apps gestartet werden, stellen sie eine Verbindung mit dem Verwaltungsserver her. Der Server antwortet mit dem Parameter "none" oder sendet den von Cyber-Kriminellen angegebenen Weblink. Wenn der Parameter empfangen wird, extrahieren die Schadprogramme mehrere Bilder aus ihren Ressourcen und zeigen sie den Benutzern an. Wenn die Schadprogramme den Weblink vom Server erhalten, laden sie die Webseite und zeigen sie an. Die Seite wird dann über WebView direkt in den Anwendungen geöffnet. Die Benutzer sehen den Link zur Ziel-Internetadresse jedoch nicht. Die Inhalte der gezeigten Webseiten können variieren. Zum Beispiel können Smartphone-Nutzer gefälschte Anmeldeformulare von Online-Banking-Systemen oder sozialen Netzwerken sehen. So laufen die Nutzer Gefahr, Opfer von Phishing-Angriffen zu werden. Da diese Funktionalität eine Bedrohung darstellt, wurde die App als Android.Click.415 in die Virendefinitionsdatei aufgenommen.

Neben den beschriebenen Trojanern wurden über 70 vergleichbare Apps entdeckt, die bereits von über 270.000 Nutzern heruntergeladen wurden. Unter den Apps finden sich gefälschte Spiele, Rezeptbücher, Strickanleitungen usw. Einige von ihnen führen die genannten Funktionen wirklich aus. Diese können Links zu beliebigen Webseiten vom Verwaltungsserver erhalten, Apps herunterladen und diese anzeigen. Das gilt auch für Android.Click.415. Diese Apps wurden in die Dr.Web Virendefinitionsdatei als Android.Click.416 und Android.Click.417 aufgenommen. Außerdem zeigen einige Modifikationen dieser Apps aufdringliche Werbung an.

Die Trojaner wurden von mindestens vier Entwicklern verbreitet: Tezov apps, Aydarapps, Chmstudio und SVNGames. Das Team von Doctor Web benachrichtigte Google über alle böswilligen Apps. Zum Zeitpunkt der Veröffentlichung dieser Meldung waren sie jedoch immer noch verfügbar.

Das Team von Doctor Web warnt alle Nutzer, auch bei der Installation von Apps aus zuverlässigen Quellen wie Google Play auf den Namen eines Entwicklers zu achten. Cyber-Kriminelle können die Oberflächen von Apps kopieren, um Nutzer dazu zu bewegen, diese zu installieren. Dr.Web für Android entdeckt und löscht alle bekannten Varianten von Android.Click.415, Android.Click.416 und Android.Click.417. Diese Schädlinge stellen für Dr.Web Nutzer somit keine Gefahr dar.

• Mehr zum Trojaner Android.Click.415 Trojan
• Mehr zum Trojaner Android.Click.416 Trojan
• Mehr zum Trojaner Android.Click.417 Trojan

Frankfurt, 6. März 2018

Die Sicherheitsexperten von Doctor Web nehmen Trojaner Trojan.LoadMoney, die andere gefährliche Apps auf infizierte Rechner herunterladen, genau unter die Lupe.

Die Trojanerfamilie Trojan.LoadMoney ist schon seit 2013 bekannt. Neue Schädlinge aus diesem Stall erscheinen regelmäßig. Einer davon wurde vor kurzem als Trojan.LoadMoney.3209 getauft. Der Trojaner hat zwei Internetadressen, von denen er Apps herunterlädt und startet. Zum Zeitpunkt der Analyse konnte der Schädling eine identische Installationsdatei herunterladen und in einem temporären Verzeichnis speichern. Anschließend wurde die Datei eingelesen und gelöscht. Später wurde sie aber wieder in einem temporären Verzeichnis mit einem zufälligen Namen gespeichert. Schließlich wurde die ausführbare Datei durch den Hauptspeicher eingelesen und aus diesem gestartet. Die Ausgangsdatei wurde dabei gelöscht.

Eine der Dateien, die Trojan.LoadMoney.3209 herunterlädt, wurde als Trojan.LoadMoney.3558 getauft. Dieser Schädling ist sehr kompliziert. Trojan.LoadMoney.3558 infiziert das Betriebssystem und nutzt dabei das frei verfügbare Tool cURL. Mit Hilfe dieses Tools kann mit mehreren Servern und einer Vielzahl von Protokollen gleichzeitig gearbeitet werden. Der Trojaner entschlüsselt und speichert dies auf der Festplatte. Zum Herunterladen von Dateien mit Hilfe von cURL nutzt der Schädling Trojan.LoadMoney.3558 den Windows-Taskplaner. Der Bösewicht enthält vier verschlüsselte Internetadressen. Eine davon wird für die Arbeit mit cURL benutzt, von den drei anderen wird unsichtbar eine ausführbare Datei gestartet: Trojan.LoadMoney.3263. Nach dem Starten wird die Installationsdatei von Trojan.LoadMoney.3263 gelöscht.

Nachdem der Schädling heruntergeladen wurde, zieht er eine ausführbare Datei heraus, stellt ihren Titel wieder her, speichert diese in einem temporären Verzeichnis und startet sie. Diese Datei wird von Dr.Web als Trojan.Siggen7.35395 erkannt. Da der Schadcode sich visuell nicht zeigt, können alle oben erwähnten Trojaner nicht entdeckt werden.

Die Sicherheitsexperten von Doctor Web sind immer noch dabei, den Schädling und die von ihm heruntergeladenen schädlichen Dateien zu analysieren. Nutzer werden auf dem Laufenden gehalten.

Dr.Web Malwareschutzprodukte schützen zuverlässig gegen Trojan.LoadMoney. Sie stellen daher für Dr.Web Nutzer keine Gefahr dar.

Mehr zum Trojaner