Baden-Baden, 13. November 2019

Im Oktober 2019 wuchs die Zahl von erkannten Bedrohungen im Vergleich zum September. Die Anzahl der einzigartigen Bedrohungen nahm dabei um 6,86% ab. Die häufigste Bedrohung im E-Mail-Verkehr war Malware, die Schwachstellen in Microsoft Office-Dokumenten ausnutzte und Phishing-Mails versendete. Im Bereich Malware und unerwünschte Software führte ein Passwortdieb die Liste an, doch Adware macht immer noch die Mehrheit aller Bedrohungen aus.

Serverstatistik von Doctor Web

Bedrohungen dieses Monats:

Trojan.PWS.Siggen2.34629

Ein Trojaner, der Passwörter klaut.

Adware.Elemental.14

Werbeprogramme, die von File-Sharing-Diensten heruntergeladen werden, wenn Nutzer versuchen, bestimmte Dateien mittels Link-Spoofing herunterzuladen. Anstelle der erwarteten Dateien erhalten die Opfer diese Apps, die Anzeigen schalten und unnötige Software installieren.

Adware.SweetLabs.2

Ein alternativer App-Katalog und ein Plug-in für die Windows-Benutzeroberfläche von Autoren von Adware.Opencandy.

Adware.Softobase.15

Ein Installationsprogramm, das veraltete Software verbreitet und die Browsereinstellungen anpasst.

Adware.Ubar.13

Ein Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.InstallCore.3553

Ein bekanntes Packprogramm für Adware, das Werbung anzeigt und zusätzliche Module ohne Benutzerzustimmung installiert.

Malware im E-Mail-Verkehr

Exploit.Rtf.CVE2012-0158

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Eine Familie von Trojanern, die Sicherheitslücken in Microsoft-Office-Dokumenten ausnutzt und andere böswillige Apps auf den PC herunterlädt.

PDF.Phisher.115

Eine PDF-Datei, die in Phishing-Mails genutzt wird.

Exploit.ShellCode.69

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE-2017-11882 zum Ausführen des Schadcodes ausnutzt.

Trojan.PWS.Siggen2.34629

Ein Trojaner, der Passwörter klaut.

Trojan.PWS.Stealer.19347

Eine Familie von Trojanern, die von PCs der Benutzer vertrauliche Daten stehlen können.

Encoder

Im Oktober erhielt das Support-Team von Doctor Web mehr Anfragen von Benutzern, die von Encodern betroffen waren:

• Trojan.Encoder.858 — 16.34%
• Trojan.Encoder.10700 — 6.27%
• Trojan.Encoder.29750 — 2.81%
• Trojan.Encoder.11539 — 2.64%
• Trojan.Encoder.25574 — 2.64%
• ACCDFISA v2 — 2.48%
• Trojan.Encoder.11464 — 2.15%

Böswillige Websites

Im Oktober 2019 wurden 254 849 Internetadressen in die Datenbank nicht empfohlener Websites aufgenommen.

Bedrohungen für mobile Geräte

Im vergangenen Monat haben die Virenanalysten von Doctor Web eine große Anzahl von Bedrohungen auf Google Play identifiziert. Unter ihnen waren Klicker aus der Familie Android.Click, die Benutzer für kostenpflichtige Dienste angemeldet haben. Darüber hinaus verteilten die Angreifer Android.HiddenAds und Android.SmsSpy, die eingehende SMS-Nachrichten abfingen. Im Oktober spürten unsere Spezialisten neue Modifikationen von Trojanern der Android.Joker-Familie auf. Auf Befehl der Angreifer konnten sie zufälligen Code ausführen, zusätzliche bösartige Module ausführen und Opfer automatisch für teure mobile Dienste anmelden.

Die wichtigsten sicherheitsrelevanten Ereignisse in der mobilen Welt im Oktober:

• Aktive Verbreitung von Schädlingen über Google Play.

Baden-Baden, 17. Oktober 2019

Der Sicherheitsspezialist Doctor Web entdeckte auf Google Play einen Android-Clicker, der in der Lage ist, kostenpflichtige Dienste gegen den Wunsch des Nutzers zu abonnieren.

Virenanalysten von Doctor Web entdeckten mehrere Modifikationen des Schädlings. Diese tragen die Namen Android.Click.322.origin, Android.Click.323.origin und Android.Click.324.origin. Zu Tarnungszwecken verwendeten die Angreifer mehrere Methoden. Erstens bauten sie den Clicker in harmlose Apps – Kamera-Apps und Bildsammlungen – ein, die die deklarierten Funktionen erfüllen. Deshalb hatten Sicherheitsspezialisten und Nutzer keinen Grund, diese als Bedrohung einzustufen.

Zweitens wurden alle böswilligen Apps durch das kostenpflichtige Packprogramm Jiagu geschützt, was die Virenerkennung und Codeanalyse erschwert. Dadurch hatte der Trojaner größere Chancen, die Erkennung des integrierten Schutzes des Google Play-Store zu umgehen.

Drittens versuchten Virenschreiber, den Trojaner als bekannte Werbebibliothek zu tarnen. Nach der Integration in die App-Träger wurde der Schädling in die Facebook- und Adjust-SDKs eingebettet. So konnte er sich zwischen ihren Komponenten verstecken.

Darüber hinaus griff der Clicker Nutzer selektiv an: Er führte nur bösartigen Aktionen durch, wenn das potenzielle Opfer in einem der für ihn relevanten Länder wohnhaft war.

Nachfolgend finden Sie Beispiele von Apps mit eingebetteten Trojanern:

Nachdem der Clicker installiert und gestartet wurde (im Folgenden wird exemplarisch seine Modifikation Android.Click.322.originverwendet), versuchte er Zugang zu Benachrichtigungen des Betriebssystems zu erhalten:

Wenn der Nutzer zustimmt, dem Schädling die notwendigen Berechtigungen zu erteilen, kann der Trojaner alle Benachrichtigungen über eingehende SMS ausblenden und den Nachrichtentext abfangen.

Anschließend sendet der Clicker technische Daten über das infizierte Gerät an den Befehlsserver und überprüft die Seriennummer der SIM-Karte des Opfers. Wenn sie einem der Zielländer entspricht, sendet Android.Click.322.origin Informationen über die zugeordnete Telefonnummer an den Server. Der Clicker zeigt den Nutzern in bestimmten Ländern ein Phishing-Fenster an, wo sie aufgefordert werden, die Nummer selbst einzugeben oder sich in ihrem Google-Konto anzumelden:

Wenn die SIM-Karte des Opfers nicht zu dem Land gehört, das den Schädling interessiert, ergreift der Trojaner keine Maßnahmen und stoppt bösartige Aktivitäten. Die untersuchten Modifikationen des Clickers greifen Bewohner der folgenden Länder an:

• Österreich
• Italien
• Frankreich
• Thailand
• Malaysia
• Deutschland
• Katar
• Polen
• Griechenland
• Irland

Nach dem Senden der Informationen über die Nummer wartet Android.Click.322.origin auf den Befehl des Befehlsservers. Dieser sendet dem Trojaner Aufgaben, die die Adressen der herunterzuladenden Websites und den Code enthalten. Dieser Code wird verwendet, um den Clicker über die Javascript-Schnittstelle zu steuern, Popup-Meldungen auf dem Gerät anzuzeigen, Klicks durchzuführen, usw.

Nachdem der Schädling die Adresse einer Website erhalten hat, öffnet er diese in einem unsichtbaren WebView, wo auch JavaScript mit definierten Parametern geladen wird. Nach dem Öffnen einer Website mit Premium-Diensten klickt der Trojaner automatisch auf Links und Schaltflächen. Dann erhält er Verifizierungscodes aus der SMS und bestätigt das Abonnement.

Obwohl der Schädling mit SMS nicht arbeiten darf, umgeht er diese Einschränkung. Dafür überwacht der Trojaner Benachrichtigungen einer App, der die Arbeit mit SMS standardmäßig zugewiesen ist. Wenn eine Nachricht empfangen wird, blendet er die entsprechende Systembenachrichtigung aus. Anschließend extrahiert er daraus Informationen über die empfangene SMS und sendet sie an den vordefinierten Empfänger. So sieht der Nutzer keine Benachrichtigungen über eingehende SMS und wird über das Abonnement erst dann informiert, wenn das Geld von seinem Konto abgebucht wurde oder wenn er das Nachrichtenmenü aufruft und die mit dem Premiumdienst verbundene SMS sieht.

Doctor Web informierte Google über die entdeckten Schädlinge. Diese wurden aus Google Play entfernt. Alle bekannten Modifikationen des Schädlings werden durch Dr.Web für Android erfolgreich erkannt und stellen daher keine Gefahr für unsere Nutzer dar.

Mehr zu Android.Click.322.origin

#Android, #Google_Play, #clicker

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

• Eine der ersten Malwareschutz-Apps für Android weltweit
• Über 140 Mio Downloads – nur auf Google Play
• Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

Kostenlos heurunterladen

Baden-Baden, 9. Oktober 2019

Im Vergleich zum Vormonat zeigte die Serverstatistik im September einen Anstieg der Gesamtzahl der Bedrohungen um 19,96%. Gleichzeitig sank der Anteil der einzigartigen Bedrohungen um 50,45%. Meistens wurden Benutzer von Adware sowie Downloadern und App-Installationsprogrammen angegriffen. Der E-Mail-Verkehr wurde erneut von Bedrohungen dominiert, die Sicherheitslücken in Microsoft Office-Dokumenten ausnutzten, um Geräte zu infizieren.

Die Anfragen von Benutzern, die von Verschlüsselungstrojanern betroffen sind, haben zugenommen. Der aktivste Encoder war Trojan.Encoder.858, der 16,60% aller Vorfälle ausmachte. Darüber hinaus wurden fast doppelt so viele Internetadressen in die Datenbank der nicht empfohlenen und böswilligen Websites aufgenommen wie im August 2019.

Serverstatistik von Doctor Web

Bedrohungen dieses Monats:

Adware.SweetLabs.1

Adware.SweetLabs.2

Ein alternativer App-Katalog und ein Plug-in für die Windows-Benutzeroberfläche von Autoren von Adware.Opencandy.

Adware.Elemental.14

Werbeprogramme, die von File-Sharing-Diensten heruntergeladen werden, wenn Nutzer versuchen, bestimmte Dateien mittels Link-Spoofing herunterzuladen. Anstelle der erwarteten Dateien erhalten die Opfer diese Apps, die Anzeigen schalten und unnötige Software installieren.

Adware.Softobase.15

Ein Installationsprogramm, das veraltete Software verbreitet und die Browsereinstellungen anpasst.

Adware.Ubar.13

Ein Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Malware im E-Mail-Verkehr

Exploit.Rtf.CVE2012-0158

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Trojan.SpyBot.699

Ein Trojaner, der in der Lage ist, Tastatureingaben abzufangen (Keylogger).

W97M.DownLoader.2938

Eine Familie von Trojanern, die Sicherheitslücken in Microsoft-Office-Dokumenten ausnutzt und andere böswillige Apps auf den PC herunterlädt.

PDF.DownLoader.57 (neue Bedrohung)

Ein Vertreter der Familie von Download-Trojanern, die über speziell entwickelte PDF-Dokumente verbreitet werden.

Exploit.ShellCode.69

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE-2017-11882 zum Ausführen des Schadcodes ausnutzt.

Encoder

Im Vergleich zum August erhielt das Support-Team von Doctor Web im September 14,59% mehr Anfragen von Benutzern, die von Encodern betroffen sind.

Support-Anfragen aufgrund von Encodern im September 2019:

• Trojan.Encoder.858 — 16.60%
• Trojan.Encoder.11464 — 6.93%
• Trojan.Encoder.11539 — 5.04%
• Trojan.Encoder.25574 — 2.94%
• Trojan.Encoder.10700 — 2.52%
• Trojan.Encoder.567 — 1.89%
• Trojan.Encoder.24383 — 1.47%

Böswillige Websites

Im September 2019 wurden 238 637 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im Laufe des Monats wurde auf Google Play eine Vielzahl von Schädlingen entdeckt. Anfang September entdeckten die Virenanalysten von Doctor Web den Banking-Trojaner Android.Banker.347.origin, der Anwender aus Brasilien angriff. Dieser fing SMS-Nachrichten mit Einweg-Codes ab und konnte auf Befehl von Eindringlingen betrügerische Websites herunterladen. Ein weiterer Schädling, der Ende September gefunden wurde, heißt Android.Banker.352.origin. Er klaute Zugangsdaten von Nutzern der YoBit-Kryptowährungsbörse.

Zu den Bedrohungen, die sich über Google Play verbreiteten, gehören die Android.DownLoader.920.origin und Android.DownLoader.921.origin, die andere schädliche Anwendungen heruntergeladen haben. Darüber hinaus haben Virenanalysten den Werbe-Trojaner Android.HiddenAds entdeckt. Unsere Experten fanden auch mehrere Modifikationen der Android.Joker-Familie. Diese meldeten Nutzer für kostspielige Dienste, konnten SMS abfangen und Daten aus dem Telefonbuch infizierter Geräte an Kriminelle übermitteln. Diese Trojaner haben auch Hilfsmodule heruntergeladen und gestartet. Außerdem konnten sie jeden beliebigen Code ausführen.

Darüber hinaus haben Virenanalysten von Doctor Web neue Versionen von potenziell gefährlichen Programmen, die zur Cyber-Spionage eingesetzt werden, identifiziert.

Die wichtigsten sicherheitsrelevanten Ereignisse in der mobilen Welt im September:

• Malware verbreitet sich über Google Play;
• Neue Versionen von Cyber-Spionage-Software wurden aufgespürt.

August, 9. September 2019

Im August zeigten die Statistiken im Vergleich zum Juli einen Rückgang bei der Gesamtzahl der erkannten Bedrohungen um 21,28%. Gleichzeitig nahm die Anzahl der einzigartigen Bedrohungen um 2,82% ab. Dominiert wurde der Mail-Verkehr von Malware, die Schwachstellen von Microsoft Office-Dokumenten ausnutzt, sowie von Download-Trojanern. Die meisten der erkannten Bedrohungen unter böswilligen und nicht erwünschten Apps sind Werbe-Apps.

Bedrohung des Monats

Im August fanden Virenanalysten von Doctor Web heraus, dass Hacker Kopien von beliebten Websites verwenden, um gefährliche Banking-Trojaner zu verbreiten. So kopierte man einen bekannten VPN-Dienst, während die anderen gefährlichen Websites als Corporate-Software-Websites getarnt waren.

Mehr zur Bedrohung

Serverstatistik von Doctor Web

Bedrohungen dieses Monats:

Adware.Softobase.15

Ein Installationsprogramm, das veraltete Software verbreitet und die Browsereinstellungen anpasst.

Adware.Ubar.13

Ein Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Winlock.14244

Ein Trojaner sperrt und schränkt den Zugriff des Benutzers auf das Benutzersystem und seine Funktionen ein. Für die Entsperrung ist die Überweisung eines Lösegeldes auf das Konto der Entwickler nötig.

Trojan.InstallCore.3553

Ein Trojaner, der Werbe-Module ohne Zustimmung des Benutzers installiert und Werbung anzeigt.

Malware im E-Mail-Traffic

Exploit.Rtf.CVE2012-0158

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Eine Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Ein angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE-2017-11882 zum Ausführen des Schadcodes ausnutzt.

Trojan.PWS.Stealer.19347

Ein Trojaner, der von infizierten Geräten sensible Daten klaut.

Encoder

Support-Anfragen aufgrund von Encodern im August 2019:

• Trojan.Encoder.858 — 17.73%
• Trojan.Encoder.11464 — 7.09%
• Trojan.Encoder.18000 — 4.96%
• Trojan.Encoder.28004 — 4.26%
• Trojan.Encoder.11539 — 2.60%
• Trojan.Encoder.25574 — 1.18%
• Trojan.Encoder.567 — 1.65%

Böswillige Webseiten

Im August 2019 wurden 204 551 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen

Bedrohungen für mobile Geräte

Im August machten die Virenanalysten von Doctor Web mehrere böswillige Apps auf Google Play ausfinding. In die Malwaredatenbank wurden Kennungen von Schädlingen wie Android.Click.312.origin, der auf Befehl der Cyber-Kriminellen Links folgte und verschiedene Websites aufrief, eingetragen. Darüber hinaus haben unsere Virenanalysten neue Werbetrojaner wie Android.HiddenAds und Android.DownLoader.915.origin identifiziert. Der letzte war in der Lage, weitere böswillige Apps herunterzuladen.

Ende August entdeckten wir einen weiteren Banking-Trojaner, der Benutzer aus Brasilien angriff. Der Schädling unter dem Namen Android.Banker.346.origin nutzte die speziellen Funktionen (Accessibility Service) des Android-Betriebssystems aus und konnte SMS-Nachrichten abfangen.

Die wichtigsten sicherheitsrelevanten Ereignisse in der mobilen Welt im August:

• Die Verbreitung von böswilligen Apps über Google Play setzt sich fort.
• Neue unerwünschte Werbe-Module tauchen auf.

Baden-Baden, 19. August 2019

Das Team des Virenlabors von Doctor Web hat herausgefunden, dass Hacker Kopien beliebter Websites verwenden, um den gefährlichen Banktrojaner Win32.Bolik.2 zu verbreiten. Eine dieser Websites kopiert einen bekannten VPN-Dienst, während andere als Websites von Unternehmensbürosoftware getarnt sind.

Vor kurzem haben unsere Spezialisten eine Kopie der Website des beliebten VPN-Dienstes NordVPN unter nord-vpn[.]club gefunden. Wie auf der Originalwebsite wird dem Benutzer angeboten, die App zur Nutzung von VPN herunterzuladen. Mit der App verbreiten aber die Cyberkriminellen den gefährlichen Banking-Trojaner Win32.Bolik.2.

Die Kopie ist fast identisch mit dem Original: Sie hat das gleiche Design, einen ähnlichen Domainnamen und ein gültiges SSL-Zertifikat.

Nach unseren Informationen richtet sich die Kampagne, wo eine gefälschte Website verwendet wird, in erster Linie an das englischsprachige Publikum und wurde am 08. August 2019 gestartet. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hatte die bösartige Website jedoch bereits Tausende von Aufrufen.

Darüber hinaus hat die gleiche Gruppe von Hackern Ende Juni Kopien der Websites invoicesoftware360[.]xyz (das Original heißt invoicesoftware360[.]com) und clipoffice[.]xyz (das Original heißt crystaloffice[.]com) erstellt, wo Trojaner wie Win32.Bolik.2 und Trojan.PWS.Stealer.26645 verbreitet wurden.

Der Trojaner Win32.Bolik.2 ist eine verbesserte Version von Win32.Bolik.1 und hat die Eigenschaften eines polymorphen Dateivirus mit mehreren Komponenten. Er ermöglicht es Hackern, Web-Injektionen, Traffic-Hijacking, Keylogging und Datendiebstahl aus Bank-Client-Systemen durchzuführen.

Zuvor verbreiteten die gleichen Angreifer den Win32.Bolik.2 über die gehackte Website von Videoverarbeitungssoftware. Darüber haben wir in diesem Beitrag berichtet.

Alle Versionen dieses Trojaners werden durch Dr.Web Antivirus erfolgreich erkannt, entfernt und stellen für Dr.Web Nutzer keine Bedrohung dar.

Kompromittierungsindikatoren

Baden-Baden, 8. August 2019

Trojan.Clicker sind gängige schädliche Programme, die zur Manipulation von Website-Aufrufen und Monetarisierung des Online-Traffics eingesetzt werden. Sie imitieren Handlungen der Nutzer auf Webseiten, indem sie auf Links und andere interaktive Elemente klicken. Die Virenanalysten von Doctor Web haben einen solchen Trojaner im Google Play Store ausfindig gemacht.

Dieser Trojaner stellt ein böswilliges Modul dar, das in der Klassifikation von Dr.Web den Namen Android.Click.312.origin trägt. Es ist in gängige Apps wie Wörterbücher, Online-Karten, Audio-Player, Barcodescanner und andere Software integriert. All diese Apps sind funktionsfähig und sehen für Besitzer von Android-Geräten harmlos aus. Darüber hinaus startet Android.Click.312.origin seine Aktivitäten erst nach 8 Stunden, um bei den Nutzern keinen Verdacht zu erregen.

Nachdem der Trojaner gestartet hat, sendet er die folgenden Informationen über das infizierte Gerät an den Server der Cyber-Kriminellen:

• Hersteller und Modell;
• Version des Betriebssystems;
• Wohnsitz des Nutzers und die Standardsprache des Betriebssystems;
• User-Agent ID;
• Name des Mobilfunkbetreibers;
• Art der Internetverbindung;
• Bildschirmeinstellungen;
• Zeitzone;
• App, in die der Trojaner eingebettet ist.

Daraufhin sendet der Server die notwendigen Einstellungen an den Schädling. Diese Einstellungen enthalten Namen von Methoden und Klassen mit den entsprechenden Parametern. Mi Hilfe dieser Parameter ist Android.Click.312.origin in der Lage, die Installation und Aktualisierung von Apps zu überwachen.

Wenn eine neue App installiert oder eine apk-Datei vom Play Store Client heruntergeladen wird, überträgt der Trojaner Informationen über die App an den Server der Cyberkriminellen. Android.Click.312.origin erhält daraufhin Adressen der Webseiten, die er dann im unsichtbaren WebView öffnet, und Links, die er im Browser oder Google Play Store herunterlädt.

So kann der Trojaner je nach Servereinstellungen und Anweisungen des Administrators nicht nur Apps auf Google Play bewerben, sondern auch Websites im Hintergrund herunterladen, u.a. mit Werbung (einschließlich Videos) oder anderen fragwürdigen Inhalten. Nach der Installation der Apps, in die der Trojaner eingebettet war, beschwerten sich einige Nutzer über automatisch erstellte Abos von teuren Content-Anbietern.

Den Malwareanalysten von Doctor Web ist es nicht gelungen, die Bedingungen für das Herunterladen solcher Webseiten durch den Trojaner zu rekonstruieren, aber die betrügerische Methode unter Einsatz von Android.Click.312.origin ist einfach. Da der Trojaner dem Server eine aktuelle Internetverbindung mitteilt, kann der Server bei einer Internetverbindung über den Mobilfunkanbieter einen Befehl zum Öffnen einer Website, die die WAP-Сlick-Technologie unterstützt, senden. Diese Technologie vereinfacht das Abonnieren von verschiedenen Premium-Diensten, wird aber oft illegal eingesetzt. Dieses Problem wurde von uns bereits in den Jahren 2017 und 2018 beschrieben. Um einen unnötigen Dienst zu abonnieren ist in einigen Fällen eine Benutzerbestätigung überhaupt nicht nötig: Ein Skript oder der Trojaner selbst kann dies für den Nutzer tun. Der Schädling wird auch auf die Bestätigungstaste klicken und eine Zielseite im unsichtbaren WebView öffnen – somit erfolgt der Vorgang ohne Wissen und Beteiligung des Opfers.

Die Virenanalysten von Doctor Web identifizierten 34 Apps, in die Android.Click.312.origin eingebettet war. Sie wurden von über 51 700 000 Anwendern installiert. Darüber hinaus wurde eine Modifikation des Trojaners namens Android.Click.313.origin von mindestens 50 000 000 Nutzern heruntergeladen. Damit liegt die Gesamtzahl der vom Trojaner bedrohten Nutzer bei über 101 700 000. Nachfolgend finden Sie eine Liste von Apps, in denen der Schädling gefunden wurde:

Die Informationen über den Trojaner wurden von Doctor Web an Google weitergegeben. Einige Apps wurden aus dem Google Play Store schnell entfernt. Darüber hinaus wurden Updates für mehrere Apps, die keine böswilligen Komponente mehr haben, freigegeben. Zum Zeitpunkt dieser Pressemitteilung enthielten die meisten Apps jedoch immer noch ein böswilliges Modul und standen weiterhin zum Download bereit.

Virenanalysten von Doctor Web empfehlen Entwicklern, vertrauenswürdige Module zur Monetarisierung von Apps sorgfältig auszuwählen und keine zweifelhaften SDKs zu integrieren. Dr.Web Produkte für Android erkennen und entfernen Apps, die bekannte Versionen von Android.Click.312.origin enthalten. Deshalb stellt der Schädling für unsere Nutzer keine Bedrohung dar.

Mehr zu Android.Click.312.origin

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

• Eine der ersten Malwareschutz-Apps für Android weltweit
• Über 140 Mio Downloads – nur auf Google Play
• Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

Kostenlos heurunterladen

#Android #Google_Play/p>

Baden-Baden, 5. August 2019

Im Vergleich zum Juni zeigte sich bei den erkannten Bedrohungen im Juli ein Rückgang um 54,21%. Gleichzeitig hat sich die Anzahl der einzigartigen Bedrohungen fast verdoppelt. Den Mail-Verkehr wird von Malware dominiert, die Schwachstellen in Microsoft Office-Dokumenten ausnutzt. Werbe- und Installationsapps sind weiterhin führend bei der Gesamtzahl der erkannten Bedrohungen. Unter den Encodern führt Trojan.Encoder.858 die Tabelle im Juli an und macht 21,15% aller Support-Anfragen zur Dekodierung von Nutzerdaten aus.

Die Virenanalysten von Doctor Web veröffentlichten vor kurzem Ergebnisse einer Studie zu Bedrohungen für IoT-Geräte. Die Studie basiert auf statistischen Daten, die auf infizierten Geräten seit 2016 gesammelt wurden, und macht auf das Thema Sicherheit im IoT-Bereich aufmerksam.

Studie lesen

Serverstatistik von Doctor Web

Bedrohungen im Juli:

Adware.Ubar.13

Ein Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Adware.Softobase.15

Ein Installationsprogramm, das veraltete Software verbreitet und die Browsereinstellungen anpasst.

Trojan.Packed.20771

Ein Trojaner, der für Browser bösartige Erweiterungen installiert. Diese Erweiterungen leiten die Nutzer aus dem Suchindex auf andere Websites um.

Trojan.Winlock.14244

Ein Trojaner sperrt und schränkt den Zugriff des Benutzers auf das Benutzersystem und seine Funktionen ein. Für die Entsperrung ist die Überweisung eines Lösegeldes auf das Konto der Entwickler nötig.

Trojan.DownLoader29.14148

Ein Trojaner, der Befehle von Cyber-Kriminellen ausführt.

Malware im E-Mail-Traffic

Exploit.Rtf.CVE2012-0158

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Eine Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Ein angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE-2017-11882 zum Ausführen des Schadcodes ausnutzt.

JS.DownLoader.1225

Eine Familie von böswilligen Skripten, die in JavaScript geschrieben sind. Diese laden andere böswillige Apps herunter und installieren sie auf dem Computer.

Encoder

Support-Anfragen aufgrund von Encodern im Juli 2019:

• Trojan.Encoder.858 — 21.15%
• Trojan.Encoder.567 — 9.45%
• Trojan.Encoder.11464 — 8.01%
• Trojan.Encoder.25574 — 4.93%
• Trojan.Encoder.18000 — 3.90%
• Trojan.Encoder.11539 — 3.08%
• Trojan.Encoder.28004 — 1.85%

Böswillige Webseiten

Im Juli 2019 wurden 123 251 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Mitte Juli meldete Doctor Web einen gefährlichen Trojaner, der auf Google Play auftauchte. Mit Hilfe von Android.Backdoor.736.origin konnten Cyber-Kriminelle infizierte Android-Geräte via Fernzugriff steuern. Auf Befehl der Virenschreiber konnte z. B. der Schädling weitere Apps installieren, vertrauliche Daten stehlen und böswillige Aktionen durchführen.

Identifiziert wurden auch die neuen Android.HiddenAds-Trojaner, die ihre Verbindungen auf dem Hauptbildschirm verstecken und Werbung anzeigen. Darüber hinaus entdeckten die Virenanalysten von Doctor Web mehrere Apps mit dem integrierten Modul Adware.HiddenAds.9.origin. Dieses zeigte Banner an, auch wenn die entsprechenden Apps geschlossen waren.

Die Signatur zur Erkennung der Android.Spy-Familie, die für Cyberspionage eingesetzt wird, wurde in die Dr.Web Virendatenbank aufgenommen.

Die wichtigsten sicherheitsrelevanten Ereignisse in der mobilen Welt im Juli:

• Erkennung einer gefährlichen Backdoor, die schädliche Befehle ausführt.
• Aufkommen neuer Malware auf Google Play.
• Verbreitung von Trojanern zur Cyberspionage.

Baden-Baden, 17. Juli 2019

Einleitung

Heute sind nicht nur Computer, Smartphones, Tablets und Router, sondern auch Smart TVs, CCTV-Kameras, intelligente Uhren, Kühlschränke, Autos, Fitness-Tracker, Videorekorder und sogar Spielzeug für Kinder im Netz. Die Zahl der IoT-Geräte liegt bereits bei mehreren Milliarden und wächst jährlich.

Viele davon sind schlecht oder gar nicht gegen Angriffe geschützt. So kann beispielsweise mit Hilfe von einfachen oder bekannten Login/Passwort-Paaren eine Verbindung zu diesen Geräten aufgebaut werden. Besitzer von Geräten denken oft nicht daran, Voreinstellungen zu ändern, oder können dies aufgrund der Einschränkungen der Hersteller selbst nicht vornehmen. Dann erhalten Angreifer relativ einfach Zugang zu solchen Geräten, indem sie mehrere Benutzer-Passwort-Kombinationen erfolgreich verwenden (die Methode ist heute auch als der Brute-Force-Methode bekannt). Außerdem können sie Schwachstellen von Betriebssystemen ausnutzen.

Seit 2016 verfolgen die Malwareanalysten von Doctor Web sicherheitsrelevante Entwicklungen in IoT-Bereich sehr genau. Zu diesem Zweck haben unsere Spezialisten ein Netzwerk von Fallen oder «Honeypots» aufgestellt, die das Verhalten von smarten Geräten imitieren und Infizierungsversuche registrieren. Honeypots decken mehrere Hardwareplattformen auf einmal ab, darunter ARM, MIPS, MIPSEL, PowerPC und Intel x86_64. Mit ihnen kann man Angriffe verfolgen, neue Malware erkennen und untersuchen, Erkennungsmechanismen verbessern und Malware schlussendlich effektiver bekämpfen.

In diesem Bericht werden erkannte Angriffe gegen IoT-Geräte sowie die häufigsten Bedrohungen aufgezeigt.

Statistik

Zu Beginn der Beobachtung registrierten Virenanalysten von Doctor Web eine relativ geringe Präsenz von bösartigen Apps, die es auf IoT-Geräte abgesehen haben. In den ersten vier Monaten von 2016 wurden 729.590 Angriffe erfasst. Nur ein Jahr später sind sie ums 32fache auf 23 741 581 gewachsen. 12 Monate später gab es schon 99 199 434 Angriffe. In den sechs Monaten von 2019 wurden 73 513 303 Angriffe registriert – fast so viele wie im Jahr 2018.

Die Wachstumsdynamik ist in der nachfolgenden Grafik dargestellt:

In weniger als drei Jahren ist die Zahl der Versuche, IoT-Geräte zu hacken und zu infizieren, um 13 497% gestiegen.

Angriffe auf IoT-Geräte wurden von IP-Adressen aus über 50 Ländern durchgeführt. Die häufigsten Angriffe waren aus den Vereinigten Staaten, den Niederlanden, Russland, Deutschland, Italien, dem Vereinigte Königreich, Frankreich, Kanada, Singapur, Indien, Spanien, Rumänien, China, Polen und Brasilien zu sehen.

Die geografische Verteilung der Angriffe und deren Anteil an der Gesamtzahl aller Angriffe sind in der nachfolgenden Grafik dargestellt:

Nach einer erfolgreichen Kompromittierung von Geräten können Angreifer auf diese einen oder mehrere Trojaner herunterladen. Insgesamt wurden 131 412 einmalige bösartige Dateien während der Beobachtung erkannt. Die Erkennungsdynamik ist nachfolgend dargestellt:

Smarte Geräte laufen auf verschiedenen Prozessorarchitekturen. Viele bösartige Apps haben jeweilige Versionen für mehrere Hardwareplattformen. Unter denjenigen, die unsere Honeypots imitieren, werden Geräte mit ARM-, MIPSEL- und MIPS-Prozessoren am häufigsten angegriffen. Dies ist im Diagramm deutlich zu erkennen:

Die aktivsten bösartigen Apps gehören zur Linux.Mirai-Familie, auf die mehr als 34% der Angriffe entfällt. Weiter folgen Trojaner Linux.DownLoader (3% aller Angriffe) und Linux.ProxyM (1,5% der Angriffe). Zu den Top 10 gehören auch bösartige Apps wie Linux.Hajime, Linux.BackDoor.Fgt, Linux.PNScan, Linux.BackDoor.Tsunami und Linux.HideNSeek. Die aktivsten Trojaner sind in der nachfolgenden Abbildung zu sehen:

Böswillige Apps, die IoT-Geräte angreifen, können nach ihren Hauptfunktionen in mehrere Kategorien aufgeteilt werden:

• Trojaner für DDoS-Angriffe (z.B. Linux.Mirai);
• Trojaner, die andere bösartige Apps und Zusatzkomponenten (z.B. Linux.DownLoader, Linux.MulDrop) verbreiten, herunterladen und installieren;
• Trojaner, die die Fernverwaltung infizierter Geräte ermöglichen (z.B. Linux.BackDoor);
• Trojaner, die Geräte in Proxy-Server verwandeln (z.B. Linux.ProxyM, Linux.Ellipsis.1, Linux.LuaBot);
• Trojaner zum Mining von Kryptowährungen (z.B. Linux.BtcMine);
• Andere Schädlinge.

Die meisten bösartigen Apps heute sind aber multifunktionale Bedrohungen, da sie mehrere Funktionen auf einmal kombinieren können.

Neueste Entwicklungen bei Bedrohungen für smarte Geräte

• Wegen der allgemeinen Verbreitung des Quellcodes für Trojaner wie Linux.Mirai, Linux.BackDoor.Fgt, Linux.BackDoor.Tsunami wächst die Zahl der neuen böswilligen Apps.
• Immer mehr böswillige Apps werden in Programmiersprachen wie Go und Rust entwickelt.
• Angreifer haben Zugriff auf Informationen zu vielen Schwachstellen, die zur Infizierung von Geräten ausgenutzt werden können.
• Das Mining von Kryptowährungen (vor allem Monero) auf IoT-Geräten ist nach wie vor beliebt.

Nachfolgend finden Sie die häufigsten und bemerkenswerten Trojaner für IoT-Geräte.

Häufigste IoT-Bedrohungen

Linux.Mirai

Linux.Mirai ist einer der aktivsten Trojaner, der IoT-Geräte angreift. Die erste Version des Schädlings erschien im Mai 2016. Später wurde sein Quellcode veröffentlicht, sodass er schnell eine große Anzahl an Änderungen von verschiedenen Virenschreibern erhielt. Jetzt ist Linux.Mirai der häufigste Trojaner für Linux, der auf einer Vielzahl von Prozessorarchitekturen wie x86, ARM, MIPS, SPARC, SH-4, M68K usw. läuft.

Nachdem das Zielgerät infiziert wurde, verbindet sich Linux.Mirai mit dem Control Server und wartet auf weitere Befehle. Seine Hauptfunktion ist es, DDoS-Angriffe durchzuführen.

Die nachfolgende Grafik zeigt die Erkennungsdynamik für aktive Kopien des Trojaners:

Verschiedene Modifikationen von Linux.Mirai sind in China, Japan, USA, Indien und Brasilien besonders aktiv. Nachfolgend sind Länder aufgeführt, in denen die Höchstanzahl von Bots dieser Familie erfasst wurde.

Linux.Hajime

Eine weitere gefährliche App, die IoT-Geräte infiziert, ist Linux.Hajime. Dieser Trojaner ist den Virenanalysten von Doctor Web seit Ende 2016 bekannt. Er läuft unter ARM, MIPS und MIPSEL und übernimmt die Funktion eines Netzwerkwurms, der sich über das Telnet-Protokoll verbreitet. Infizierte Geräte sind im dezentralen P2P-Botnetz eingegliedert und werden zur Infizierung von weiteren Objekten im Netzwerk ausgenutzt. Der Schädling blockiert den Zugriff anderer bösartiger Apps auf die durch ihn angegriffenen Geräte, indem er die Ports 23, 7547, 5555 und 5358 schließt.

Der Höhepunkt der Linux.Hajime-Aktivitäten war auf Ende 2016/Anfang 2017 zu beobachten, als die Zahl von aktiven Kopien des Trojaners bei über 43 000 lag. Seitdem sind seine Aktivitäten zurückgegangen und nehmen allmählich ab. Aktuell liegt die Zahl der aktiven Linux.Hajime-Bots bei nur mehreren Hundert.

Brasilien, die Türkei, Vietnam, Mexiko, Südkorea und Vietnam gehören zu den Ländern, in denen diese Trojaner am häufigsten vorkommen. Nachfolgende sind die Länder gekennzeichnet, wo die höchste Anzahl an aktiven Linux.Hajime-Trojanern erfasst wurden.

Linux.BackDoor.Fgt

Zu den fünf Trojanern, die zur Infizierung von IoT-Geräten entwickelt wurden, gehört auch Linux.BackDoor.Fgt der seit Herbst 2015 verbreitet wird. Verschiedene Versionen dieses Schädlings unterstützen MIPS, SPARC sowie andere Architekturen und laufen in einer Linux-Umgebung. Der Quellcode von Linux.BackDoor.Fgt ist offen und ist daher bei Virenschreibern so beliebt.

Die Backdoors werden über die Protokolle wie Telnet und SSH verbreitet. Dabei werden Logins und Passwörter gebrochen, um auf Zielobjekte zugreifen zu können. Mit Hilfe dieser Trojaner werden DDoS-Angriffe durchgeführt und infizierte Geräte ferngesteuert.

Linux.ProxyM

Der Trojaner Linux.ProxyM ist einer der Schädlinge, mit denen Cyberkriminelle ihre eigene Anonymität im Internet gewährleisten. Er startet auf infizierten Linux-Geräten einen SOCKS-Proxy-Server, über den Cyberkriminelle den Netzwerkverkehr passieren lassen. Die Virenanalysten von Doctor Web entdeckten die ersten Versionen von Linux.ProxyM im Februar 2017. Der Trojaner ist bis heute noch aktiv.

Linux.Ellipsis.1

Linux.Ellipsis.1 ist ein weiterer Trojaner, der IoT-Geräte und Linux-Computer in Proxy-Server verwandelt. Erwischt wurde er durch Virenanalysten von Doctor Web im Jahr 2015. Nach seinem Start löscht er Protokolldateien und blockiert die erneute Erstellung von Dateien, entfernt einige Systemprogramme und verbietet die Kommunikation mit bestimmten IP-Adressen. Wenn der Trojaner verdächtigen Datenverkehr von einer dieser Adressen erkennt, listet er diese auf. Auf Befehl des Steuerservers beendet Linux.Ellipsis.1 Anwendungen, die eine Verbindung zu verbotenen Adressen aufgebaut haben.

Linux.LuaBot

Die Malwareanalysten von Doctor Web entdeckten die ersten Versionen von Linux.LuaBot im Jahr 2016. Diese Schädlinge sind in der Programmiersprache Lua geschrieben und unterstützen Architekturen wie Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4 und M68k. Sie bestehen aus mehreren Dutzend Skriptmodulen, von denen jedes eine bestimmte Aufgabe erfüllt. Sie sind multifunktionale bösartige Apps und können Updates für diese Module vom Control Server empfangen sowie neue Module herunterladen. Abhängig von der Modifikation und der Menge der Skripte können Angreifer mit deren Hilfe infizierte Geräte per Fernzugriff verwalten und Netz Proxy-Server erstellen, um ihre Anonymität zu gewährleisten.

Linux.BtcMine.174

Cyberverbrecher infizieren IoT-Geräte vor allem mit einem Ziel: Sie wollen dadurch Kryptowährungen schürfen. Die Linux.BtcMine-Familie sowie andere bösartige Apps sind ihnen dabei behilflich. So ist z.B. Linux.BtcMine.174, der Ende 2018 ausfindig gemacht wurde, für das Minig von Monero (XMR) konzipiert. Linux.BtcMine.174 ist ein Skript, das in der Befehlsshellsprache sh geschrieben wurde. Wenn er nicht als Root ausgeführt wird, versucht er, seine Berechtigungen durch mehrere Exploits zu erhöhen.

Linux.BtcMine.174 ist ein Skript, das in der Befehlsshellsprache sh geschrieben wurde. Wenn er nicht als Root ausgeführt wird, versucht er, seine Berechtigungen durch mehrere Exploits zu erhöhen.

Der Trojaner nistet sich im Autostart ein und hat daher keine Angst, wenn das infizierte Gerät neu gestartet wird. Darüber hinaus überprüft er regelmäßig, ob der Mining-Prozess aktiv ist. Bei Bedarf initiiert er diesen erneut und stellt so die permanente Produktion von Kryptowährung sicher.

Linux.MulDrop.14

Die Linux.MulDrop-Trojaner werden zur Verbreitung und Installation anderer bösartiger Anwendungen eingesetzt. Sie laufen auf vielen Hardwarearchitekturen und Gerätetypen. 2017 entdeckten aber die Virenanalysten von Doctor Web den Trojaner Linux.MulDrop.14, der nur auf Raspberry Pi-Computer als Zielscheibe hatte. Linux.MulDrop.14 stellt ein Skript dar, das ein verschlüsseltes Programm zum Mining von Kryptowährung abspeichert. Nach dem Start entpackt und startet er den Miner und versucht, andere in der Netzwerkumgebung verfügbare Geräte zu infizieren. Um zu verhindern, dass Wettbewerber auf die Ressourcen des infizierten Geräts zugreifen können, blockiert Linux.MulDrop.14 den Netzwerkport 22.

Linux.HideNSeek

Linux.HideNSeek infiziert smarte Geräte, Computer und Server unter Linux, indem er sie zu einem dezentralen Botnet hinzufügt. Für seine Verbreitung generiert er IP-Adressen und versucht, anhand einer Liste mit bekannten Benutzername-Passwort-Kombinationen eine Verbindung zu den Geräten aufzubauen. Darüber hinaus ist er in der Lage, verschiedene Hardware-Schwachstellen auszunutzen. Linux.HideNSeek kann infizierte Geräte per Fernzugriff verwalten sowie Befehle (Entfernen von Dateien usw.) von Cyberkriminellen ausführen.

Linux.BrickBot

Im Gegensatz zu den meisten Schädlingen sind die Linux.BrickBot-Trojaner für den Vandalismus konzipiert: Sie deaktivieren Computer und IoT-Geräte. Bekannt sind sie seit 2017.

Der Linux.BrickBot infiziert Geräte über Telnet, indem er Benutzernamen und Passwörter ausprobiert. Dann versucht er, Daten aus dem Speicher zu löschen, die Netzwerkeinstellungen zurückzusetzen, alle Verbindungen zu blockieren und erzwingt den Neustart. Die beschädigten Elemente müssen in einigen Fällen sogar ersetzt werden. Diese Trojaner kommen selten vor, sind aber extrem gefährlich.

Der Linux.BrickBot infiziert Geräte über Telnet, indem er Benutzernamen und Passwörter ausprobiert. Dann versucht er, Daten aus dem Speicher zu löschen, die Netzwerkeinstellungen zurückzusetzen, alle Verbindungen zu blockieren und erzwingt den Neustart. Die beschädigten Elemente müssen in einigen Fällen sogar ersetzt werden. Diese Trojaner kommen selten vor, sind aber extrem gefährlich.

Fazit

Millionen von Geräten, die wir im Alltag benutzen, sind Kleincomputer. Sie sind ähnlichen Angriffen ausgesetzt und haben auch ihre Schwachstellen. Aufgrund vieler Einschränkungen kann es viel schwieriger oder gar unmöglich sein, diese zu schützen. Viele Nutzer sind außerdem potenzieller Risiken nicht ganz bewusst und nehmen diese Geräte immer noch als sicheres und praktisches Spielzeug wahr.

Der IoT-Markt entwickelt sich rasant und wiederholt in vielerlei Hinsicht die Situation mit der Massenverbreitung von PCs, wo Mechanismen des Kampfes gegen Bedrohungen nur langsam verbessert wurden. Während sich Hersteller und Besitzer smarter Geräte an die neuen Gegebenheiten anpassen, haben Angreifer große Chancen. Daher kann in naher Zukunft mit neuer IoT-Malware gerechnet werden.

Die Virenanalysten von Doctor Web werden auch weiterhin die Verbreitung von IoT-Trojanern sowie anderen Bedrohungen verfolgen und Nutzer über alle interessanten Entwicklungen im IoT-Bereich auf dem Laufenden halten. Alle im Bericht erwähnten Schädlinge werden durch Dr.Web erfolgreich erkannt und entfernt.

Baden-Baden, 12. Juli 2019

Der Sicherheitsspezialist Doctor Web entdeckte auf Google Play eine neue Backdoor, die Befehle von Cyber-Kriminellen ausführt und ihnen ermöglicht, infizierte Android-Geräte per Fernzugriff zu steuern und Nutzer auszuspionieren.

Der Schädling unter dem Namen Android.Backdoor.736.origin verbreitet sich als OpenGL Plugin, das angeblich die Version der grafischen Benutzeroberfläche von OpenGL ES prüfen und Updates herunterladen soll.

Bei der Ausführung von Android.Backdoor.736.origin wird der Zugriff auf mehrere wichtige Systemberechtigungen angefordert, die es ihm ermöglichen, vertrauliche Daten zu sammeln und mit dem Dateisystem zu arbeiten. Darüber hinaus versucht er, Zugriff auf die Anzeige von Bildschirmformularen über die Schnittstelle anderer Apps zu erhalten.

Die böswillige App verfügt über eine Schaltfläche, um nach Updates für die grafische Oberfläche von OpenGL ES zu suchen. Nachdem auf die Schaltfläche geklickt wurde, imitiert der Trojaner den Prozess der Suche nach neuen Versionen von OpenGL ES, führt aber in der Tat keine Suche durch.

Sobald das Opfer das Fenster der App geschlossen hat, entfernt Android.Backdoor.736.origin das Symbol aus der Liste der Apps im Hauptmenü und erstellt eine Verknüpfung. So will der Schädling dem Benutzer erschweren, den Trojaner später zu entfernen, weil er selbst durch das Entfernen der Verknüpfung nicht beeinträchtigt wird.

Android.Backdoor.736.origin ist ständig im Hintergrund aktiv und kann nicht nur über das Symbol oder die Verknüpfung, sondern auch automatisch beim Start des Systems und auf Befehl von Cyber-Kriminellen über Firebase Cloud Messaging gestartet werden. Hauptfunktionen des Trojaners liegen in einer verschlüsselten Hilfsdatei, die mit weiteren Programmressourcen in einem Verzeichnis abgelegt wird. Diese Hilfsdatei wird bei jedem Start von Android.Backdoor.736.origin entschlüsselt und in den Hauptspeicher geladen.

Der Schädling unterhält eine Verbindung zu mehreren Servern, von denen er Befehle von Cyberkriminellen empfängt und an die er auch gesammelte Daten weiterleitet. Cyberkriminelle können den Trojaner aber auch über den Firebase Cloud Messaging-Dienst kontrollieren.

Android.Backdoor.736.origin ist in der Lage, folgende Aktionen durchzuführen:

• Übertragen von Kontaktinformationen aus dem Telefonbuch an den Server;
• Übertragen von Informationen über SMS an den Server (die untersuchte Version des Trojaners hat nicht die erforderlichen Berechtigungen dafür);
• Übermitteln von Informationen über Telefonate an den Server;
• Übermitteln von Daten über den Gerätestandort an den Server;
• Herunterladen und Ausführen von apk- oder dex-Dateien unter Einsatz der Klasse DexClassLoader;
• Übertragen von Informationen über installierte Apps an den Server;
• Herunterladen und Ausführen von ausführbaren Dateien;
• Herunterladen von Dateien vom Server;
• Übertragen einer definierten Datei an den Server;
• Übertragen von Informationen über Dateien im angegebenen Verzeichnis oder über Dateien auf der Speicherkarte an den Server;
• Ausführen eines Shell-Befehls;
• Starten von definierten Aktivitäten;
• Herunterladen und Installieren einer Android-App;
• Anzeigen von bestimmten Benachrichtigungen;
• Anfordern der im Befehl angegebenen Berechtigung;
• Übertragen einer Liste von Berechtigungen, die dem Trojaner gewährt wurden, an den Server;
• Sperren des Geräts für den Ruhezustand.

Der Trojaner verschlüsselt alle an den Server gesendeten Daten mit dem AES-Algorithmus. Jede Anfrage ist durch einen Schlüssel geschützt, der anhand der aktuellen Uhrzeit generiert wird. Mit demselben Schlüssel wird auch die Serverantwort kodiert.

Android.Backdoor.736.origin ist in der Lage, Apps auf verschiedene Weise zu installieren:

• automatisch, wenn das System Root-Zugriff hat (mit Hilfe des Shell-Befehls);
• über den System-Paketmanager (nur für Systemsoftware);
• über einen Standard-Dialog, wo der Nutzer der Installation zustimmen soll.

Der Schädling ist also gefährlich. Er wird nicht nur zwecks Cyberspionage eingesetzt, sondern kann auch für Phishing-Aktionen verwendet werden, da er Fenster und Benachrichtigungen mit beliebigen Inhalten anzeigen kann. Darüber hinaus kann er weitere böswillige Apps herunterladen und installieren sowie zufälligen Code ausführen. So ist Android.Backdoor.736.origin zum Beispiel in der Lage, einen Exploit herunterzuladen und diesen auszuführen, um an Root-Rechte zu gelangen. Danach hat er die Hände frei und kann ohne Zustimmung des Nutzers beliebige Aktionen im Android-System durchführen.

Doctor Web hat Google über den gefundenen Trojaner benachrichtigt. Zum Zeitpunkt der Veröffentlichung dieser Meldung wurde der Trojaner aus dem Google Play-Store entfernt.

Android.Backdoor.736.origin und Komponenten des Schädlings werden durch Dr.Web für Android erfolgreich ausfindig gemacht. Deshalb stellt der Schädling für Dr.Web Nutzer keine Bedrohung dar.

Mehr zu Android.Backdoor.736.origin

#Android, #backdoor, #Google_Play, #слежка

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

• Eine der ersten Malwareschutz-Apps für Android weltweit
• Über 140 Mio Downloads – nur auf Google Play
• Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

Kostenlos heurunterladen

Baden-Baden, 3. Juli 2019

Im Juni verzeichneten Serverstatistiken von Doctor Web einen deutlichen Anstieg bei der Anzahl von häufigen und einmaligen Bedrohungen im Vergleich zum Vormonat. Werbeprogramme und Installer sind nach wie vor führend bei der Gesamtzahl der erkannten Bedrohungen. Besonders aktiv waren aber Schädlinge im E-Mail-Verkehr. Trojan.PWS.Maria.3 (auch Ave Maria genannt), der früher bei einem Angriff auf ein Öl- und Gasunternehmen eingesetzt wurde, nahm seine Tätigkeit wieder auf. Über E-Mails verbreitet sich auch Trojan.Nanocore.23, der es Übeltätern erlaubt, einen infizierten Computer zu kontrollieren. Darüber hinaus wurde im Juni eine Virenkampagne unter Einsatz des Verschlüsselungstools Trojan.Encoder.858 durchgeführt.

Bedrohung des Monats

Im Juni wurde im Virenlabor von Doctor Web ein seltener Node.js-Trojaner untersucht. Er ist auch unter dem Namen Trojan.MonsterInstall bekannt. Der Schädling läuft auf dem Gerät des Opfers, lädt notwendige Module herunter, installiert diese, sammelt Informationen über das System und sendet sie an den Server der Cyber-Kriminellen. Nachdem er die Antwort vom Server erhalten hat, wird er in den Autoloader installiert und beginnt mit dem Schürfen der TurtleCoin-Kryptowährung. Die Entwickler dieser Malware nutzen zur Verbreitung eigene Websites mit Cheats für beliebte Spiele und infizieren Dateien auf anderen ähnlichen Websites.

Mehr zur Bedrohung

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Ubar.13

Ein Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.InstallCore.3553

Ein Trojaner installiert Adware, zeigt Werbung an und installiert zusätzliche Programme ohne Zustimmung des Nutzers.

Trojan.Winlock.14244

Ein Trojaner sperrt und schränkt den Zugriff des Benutzers auf das Benutzersystem und seine Funktionen ein. Für die Entsperrung ist die Überweisung eines Lösegeldes auf das Konto der Entwickler nötig.

Trojan.Starter.7394

Ein Trojaner, der zum Starten weiterer Malware auf dem Gerät gedacht ist.

Adware.Softobase.12

Eine Werbe-App, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Malware im E-Mail-Traffic

Exploit.Rtf.CVE2012-0158

Ein angepasstes Word-Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Eine Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Ein angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE-2017-11882 zum Ausführen des Schadcodes ausnutzt.

Diese Schädlinge sind im Juni aktiver geworden:

Trojan.PWS.Maria.3

Ein Stealer, der per E-Mail über bösartige Excel-Dateien verbreitet wird. Er nutzt die beliebte Schwachstelle CVE-2017-11882 aus, um eine Datei auszuführen und wurde erstmals in einer Phishing-Kampagne gegen Unternehmen der italienischen Öl- und Gasindustrie identifiziert.

Trojan.Nanocore.23

Ein gefährlicher Trojaner mit Fernzugriff, der es Hackern erlaubt, den infizierten Computer zu kontrollieren, einschließlich der Kamera und des Mikrofons.

Encoder

Support-Anfragen aufgrund von Encodern im Juni 2019:

• Trojan.Encoder.858 — 30.31%
• Trojan.Encoder.567 — 7.02%
• Trojan.Encoder.11464 — 6.47%
• Trojan.Encoder.11539 — 3.33%
• Trojan.Encoder.18000 — 3.14%
• Trojan.Encoder.28004 — 2.59%
• Trojan.Encoder.25574 — 1.66%

Böswillige Webseiten

Im Juni 2019 wurden 151 162 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im Juni spürten die Virenanalysten von Doctor Web wieder viele bösartige und unerwünschte Software auf Google Play auf. Unter denen waren auch der Trojaner Android.HiddenAds, der Banner anzeigte, sowie betrügerische Apps Android.FakeApp. Letztere riefen Websites auf, wo potenzielle Opfer aufgefordert wurden, gegen eine Belohnung an einer Online-Umfrage teilzunehmen. Um das Geld zu erhalten, sollten die Nutzer eine Gebühr zahlen. Wenn man zustimmte, erhielt man aber keine Belohnung Android.FakeApp.174, rief Websites auf, wo Benutzer ohne Zustimmung Abos mit lästigen und betrügerischen Mitteilungen zugewiesen wurden.

Innerhalb eines Monats wurden neue Downloader wie Android.DownLoader.3200 und Android.DownLoader.681.origin. gefunden. Diese haben andere bösartige Apps auf Android-Geräte heruntergeladen. Darüber hinaus analysierten die Virenanalysten von Doctor Web das neue Werbemodul Adware.OneOceans.2.origin, das Softwareentwickler in Apps und Spiele integrieren.

Hauptereignisse in der mobilen Sicherheitsszene:

• Neue Schädlinge wurden auf Google Play entdeckt.

Mehr zu den Ereignissen in der mobilen Sicherheitsszene lesen Sie in diesem Bericht.

Baden-Baden, 19. Juni 2019

Die Virenanalysten von Doctor Web untersuchten einen Schädling, der auf JavaScript geschrieben ist und Node.js zum Start im System verwendet. Die Malware verbreitet sich über Cheatsites für beliebte Videospiele und wird nun unter dem Namen Trojan.MonsterInstall geführt.

Das Team von Yandex übergab dem Virenlabor von Doctor Web eine Probe dieses seltenen Node.js-Trojaners zur Analyse. Es stellte sich heraus: Die Malware, die über Cheatsites für Videospiele verbreitet wird, hat mehrere Versionen und Komponenten.

Beim Herunterladen eines Cheats lädt der Nutzer ein passwortgeschütztes Archiv auf seinen Computer herunter. Darin befindet sich eine ausführbare Datei, die beim Start die notwendigen Cheats zusammen mit anderen Komponenten des Trojaners herunterlädt.

Trojan.MonsterInstall startet danach auf dem Gerät des Opfers, lädt alle notwendigen Module herunter, installiert sich im System, sammelt Systemdaten und sendet diese an den Server des Entwicklers. Nach Erhalt der Antwort wird er im Autostart-Verzeichnis installiert und fängt gleich an, die Kryptowährung TurtleCoin zu schürfen.

Zur Verbreitung des Trojaners nutzen Malware-Entwickler ihre eigenen Websites mit Cheats für beliebte Spiele und infizieren auch Dateien auf anderen ähnlichen Websites. Laut SimilarWeb-Statistik rufen Nutzer diese Websites etwa 127.400 Mal im Monat auf.

Websites, die dem Entwickler des Trojaners gehören:

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

Darüber hinaus sind einige Dateien auf der Webseite proplaying[.]ru infiziert.

Die Virenanalysten von Doctor Web empfehlen deshalb allen Nutzern, ihre Virenschutz-Apps auf einem aktuellen Stand zu halten und keine verdächtige Apps herunterzuladen.

Wir danken auch dem Team von Yandex für die bereitgestellte Probe sowie weitere Informationen zur Verbreitung des Schädlings.

Mehr zum Trojaner

Indikatoren des Kompromittierung

Baden-Baden, 14. Juni 2019

Die Virenanalysten von Doctor Web entdeckten den Schädling Android.FakeApp.174, der im Google Chrome-Browser verdächtige Webseiten hochlädt. Google Chrome-Nutzer werden dabei ohne ihre Zustimmung für Push-Benachrichtigungen registriert. Diese werden versendet, auch wenn der Browser geschlossen ist. Man könnte auch glauben, dass sie echt sind. Solche Benachrichtigungen stören nicht nur die Arbeit mit Android-Geräten, sondern können auch zum Diebstahl von Geld und vertraulichen Daten führen.

Die Web-Push-Technologie ermöglicht es Webseiten, mit Zustimmung des Nutzers Benachrichtigungen an den Nutzer zu senden, auch wenn eine Webseite nicht im Browser geöffnet ist. Diese Funktion ist nützlich und bequem, wenn man mit harmlosen Inhalten arbeitet. So kann man sich beispielsweise in sozialen Netzwerken auf diese Weise über neue Beiträge informieren. Nachrichtenagenturen können auch ihre Abonnenten über neue Beiträge benachrichtigen. Die Technologie wird jedoch von Cyberkriminellen und skrupellosen Werbetreibenden missbraucht, um Werbung und betrügerische Benachrichtigungen von gehackten oder bösartigen Webseiten zu verbreiten.

Diese Benachrichtigungen werden in Browsern sowohl auf PCs als auch auf Laptops und mobilen Geräten unterstützt. In der Regel gerät das Opfer auf eine zweifelhafte Webseite, wenn es einen Link oder Werbebanner anklickt. Android.FakeApp.174 ist einer der ersten Trojaner, der Cyberkriminellen hilft, die Zahl der Besucher auf diesen Seiten zu erhöhen und solche Benachrichtigungen an Smartphone - und Tablet-Nutzer zu generieren.

Android.FakeApp.174 wird so unter dem Deckmantel einer bekannten App verbreitet. Zwei solcher Modifikationen des Trojaners wurden von unseren Virenanalysten Anfang Juni auf Google Play entdeckt. Nach der Kontaktaufnahme mit Google wurde die Malware entfernt. Nichtsdestotrotz wurde die App von über 1.100 Nutzern heruntergeladen.

Beim Start lädt der Trojaner im Google Chrome-Browser eine Webseite herunter, deren Adresse in den Einstellungen einer böswilligen App angegeben ist. Diese Seite leitet den Nutzer auf Seiten verschiedener Partnerprogramme weiter. Danach wird man aufgefordert, den Erhalt von Benachrichtigungen auf jeder dieser Seiten zu erlauben. Um das Opfer davon zu überzeugen, wird eine Art Überprüfung durchgeführt (z.B. dass der Benutzer kein Roboter ist) oder ein Hinweis darauf gegeben, auf welche Schaltfläche man klicken soll. Dies soll mehr Abos generieren. Beispiele für solche Anfragen sind auf den folgenden Bildschirmaufnahmen dargestellt:

Nach der Aktivierung des Abos beginnen diese Webseiten, dem Nutzer zahlreiche Benachrichtigungen zu fragwürdigen Inhalten zu senden. Sie werden auch dann empfangen, wenn der Browser geschlossen ist und der Trojaner bereits gelöscht wurde. Der Inhalt kann alles Mögliche sein, u.a. falsche Benachrichtigungen über den Erhalt von Geldboni oder Überweisungen, neue Meldungen in sozialen Netzwerken, Werbehoroskopen, Casinos, Waren und Dienstleistungen und sogar «News».

Viele von ihnen sehen wie echte Benachrichtigungen über echte Online-Dienste aus. So sind sie beispielsweise mit dem Logo einer Bank, einer Dating-Webseite, einer Nachrichtenagentur oder eines sozialen Netzwerks versehen. Besitzer von Android-Geräten können täglich Dutzende solcher Spam-Nachrichten empfangen.

Obwohl diese Benachrichtigungen auch die Adresse der entsprechenden Webseite enthalten, können sie von einem unwissenden Nutzer übersehen werden. Beispiele für betrügerische Benachrichtigungen sind wie folgt:

Wenn man eine solche Benachrichtigung anklickt, wird man auf die Webseite mit fragwürdigem Inhalt weitergeleitet. Dies kann u.a. Werbung für Casinos sowie unterschiedliche Apps auf Google Play, Rabatt- und Gutscheinangebote sowie gefälschte Online-Umfragen und Gewinnspiele sein, die je nach Standort des Nutzers variieren. Beispiele für solche Webseiten sind wie folgt:

Viele von diesen Webseiten sind an bereits bekannten betrügerischen Programmen beteiligt. Cyberkriminelle sind auch in der Lage, einen Angriff jederzeit zu starten, um sensible Daten zu klauen. Ein potenzielles Opfer kann also eine gefälschte Benachrichtigung anklicken, zu einer Phishing-Seite gehen und seinen Namen, sein Login, sein Passwort, seine E-Mail-Adresse, seine Kreditkartennummer oder andere sensible Daten angeben.

Die Malwareanalysten von Doctor Web sind der Meinung, dass Cyberkriminelle diese Methode zur Promotion zweifelhafter Dienste weiterhin aktiv nutzen werden. Android-Nutzer sollten deshalb beim Aufrufen von Webseiten diese sorgfältig auf verdächtige Aufforderungen und unerwünschte Benachrichtigungen überprüfen. Wenn man aus einem beliebigen Grund unerwünschte Spam-Benachrichtigungen abonniert hat, sollte man wie folgt vorgehen:

• Rufen Sie «Einstellungen» => «Website-Einstellungen» => «Benachrichtigungen» in Google Chrome auf.
• Finden Sie in der Liste die entsprechende Webseite, klicken Sie diese an und wählen Sie «Berechtigungen zurücksetzen» oder «Löschen».

Dr.Web Produkte für Android finden und löschen alle bekannten Modifikationen von Android.FakeApp.174. Deshalb stellt der Trojaner für unsere Nutzer keine Bedrohung dar.

Mehr zu Android.FakeApp.174

Your Android needs protection.

Use Dr.Web

• The first Russian anti-virus for Android
• Over 140 million downloads—just from Google Play
• Available free of charge for users of Dr.Web home products

Free download

Frankfurt, 3. Juni 2019

Im Mai 2019 verzeichneten die Statistiken der Dr.Web Server einen Anstieg der Anzahl einzigartiger Bedrohungen um 1,49% gegenüber dem Vormonat. Die Gesamtzahl der erkannten Bedrohungen stieg um 14,51%. Die Statistiken zeigen, dass Adware und Installer das Malware-Feld dominieren. Der Mailverkehr wird nach wie vor von Malware dominiert, die Schwachstellen in Microsoft Office-Dokumenten ausnutzt. Auch die Verbreitung des gefährlichen Trojaners Trojan.Fbng.8 (FormBook)..Fbng.8 (FormBook) nahm zu.

Versand von Stealern per E-Mail

Die Virenanalysten von Doctor Web meldeten eine neue Bedrohung für das MacOS-Betriebssystem – Mac.BackDoor.Siggen.20. Mit dieser Malware können Cyber-Kriminelle einen beliebigen Python-Code auf das Gerät des Nutzers herunterladen und ausführen. Webseiten, die diese Malware verbreiten, infizieren auch Windows-Rechner mit der Spyware BackDoor.Wirenet.517 (NetWire). Letztere ist ein bekannter RAT-Trojaner, mit dem Hacker den Computer des Opfers (u.a. Kamera und Mikrofon) fernbedienen können. Darüber hinaus verfügt der RAT-Trojaner über eine gültige digitale Signatur.

Mehr zur Bedrohung

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Softobase.12

Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.Ubar.13

Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.InstallCore.3553

Der Trojaner installiert Adware, zeigt Werbung an und installiert zusätzliche Programme ohne Zustimmung des Nutzers.

Trojan.Winlock.14244

Der Trojaner sperrt und schränkt den Zugriff des Benutzers auf das Benutzersystem und seine Funktionen ein. Für die Entsperrung ist die Überweisung eines Lösegeldes auf das Konto der Entwickler nötig.

Trojan.Starter.7394

Trojaner, der zum Starten weiterer Malware auf dem Gerät gedacht ist.

Malware im E-Mail-Traffic

Bedrohungen des Monats:

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.435

Ein böswilliges Microsoft Office Word Dokument, welches die Schwachstelle CVE-2017-11882 zum Herunterladen des Schadcodes Trojan.Fbng.8 (FormBook) auf das Gerät des Nutzers verwendet.

Trojan.PWS.Stealer.19347

Familie von Trojanern, die von infizierten Geräten Passwörter sowie weitere sensible Daten klaut.

Diese Schädlinge sind im Mai aktiver geworden:

Trojan.Inject3.15480

Der Trojaner, der auch als Trojan.Fbng.8 (FormBook) bekannt ist, klaut persönliche Daten der Nutzer von infizierten Geräten und kann Befehle vom Server der Cyber-Kriminellen empfangen.

Encoder

Support-Anfragen aufgrund von Encodern im Mai 2019:

• Trojan.Encoder.18000 — 15.38%
• Trojan.Encoder.858 — 9.89%
• Trojan.Encoder.11464 — 5.49%
• Trojan.Encoder.25574 — 5.49%
• Trojan.Encoder.11539 — 5.27%
• Trojan.Archivelock — 5.05%
• Trojan.Encoder.567 — 1.98%

Gefährliche Webseiten

Im Mai 2019 wurden 223.952 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Im Frühling verbreiteten Cyber-Kriminelle verschiedene böswillige Apps über Google Play. Anfang Mai 2019 entdeckten die Virenanalysten von Doctor Web dann den Trojaner Android.HiddenAds.1396, der ständig Werbebanner anzeigte und Schnittstellen anderer Apps sowie des Betriebssystems mit diesen blockierte. Später wurden die Spione Android.SmsSpy.10206 und Android.SmsSpy.10263 entdeckt, die eingehende SMS stehlen und an Cyber-Kriminelle weiterleiten.

Hauptereignisse in der mobilen Sicherheitsszene:

• Neue Schädlinge auf Google Play.

Mehr zu den Ereignissen in der mobilen Sicherheitsszene lesen Sie in diesem Bericht.

Frankfurt, 8. Mai 2019

Die Virenanalysten von Doctor Web spürten einen Schädling für macOS auf, der auf Rechnern einen beliebigen Schadcode auf Python ausführen lassen kann. Webseiten, die diese Malware verbreiten, infizieren mit der Spyware auch Windows-Nutzer.

Eine neue Bedrohung für macOS wurde von den Virenanalysten von Doctor Web am 29. April entdeckt. Der Schädling wird unter dem Namen Mac.BackDoor.Siggen.20 geführt und stellt eine Backdoor dar, die einen Schadcode von einem Remote-Server herunterladen und ausführen kann.

Mac.BackDoor.Siggen.20 gelangt auf Rechner über Webseiten der Schadcode-Entwickler. Eine solche Webseite ist normalerweise als simple Webseite mit einem Portfolio einer fiktiven Person konzipiert. Ein weiteres Beispiel ist eine Webseite, die als WhatsApp maskiert ist.

Beim Aufrufen dieser Webseiten bestimmt der eingebettete Schadcode das Betriebssystem des Nutzers und lädt je nach Betriebssystem eine Backdoor oder einen Trojaner auf den Rechner herunter. Ein macOS-Nutzer wird also mit dem Mac.BackDoor.Siggen.20 und ein Windows-Nutzer mit dem BackDoor.Wirenet.517 (NetWire) infiziert. Der Letztere ist auch als RAT-Trojaner bekannt, über den Cyber-Kriminelle einen Computer des Opfers, u.a. durch Einsatz von Kamera und Mikrofon, entfernt steuern können. Der verbreitete RAT-Trojaner verfügt wirklich über eine digitale Signatur.

Gemäß Angaben der Virenanalysten von Doctor Web wurde die Webseite, die den Mac.BackDoor.Siggen.20 unter dem Deckmantel von WhatsApp verbreitet, von mindestens 300 Besuchern mit einzigartigen IP-Adressen geöffnet. Die Webseite ist seit dem 24. März 2019 aktiv und wurde durch Hacker in groß angelegten Kampagnen noch nicht eingesetzt. Die Sicherheitsexperten von Doctor Web empfehlen deshalb, vorsichtig zu sein und die Virenschutzsoftware auf einem aktuellen Stand zu halten. Zum jetzigen Zeitpunkt können alle Komponenten von Mac.BackDoor.Siggen.20 nur durch Dr.Web erfolgreich aufgespürt werden.

Mehr zur Bedrohung

Frankfurt, 30. April 2019

Im April 2019 zeigte die Statistik des Dr.Web Servers einen Rückgang der Bedrohungen um 39,44% im Vergleich zum Vormonat, während die Gesamtzahl der erkannten Bedrohungen um 14,96% zurückging. Der E-Mail-Verkehr wird nach wie vor von Malware dominiert, die Schwachstellen in Microsoft Office-Apps ausnutzt. Auch Malware und Statistiken über unerwünschte Software setzen den Trend des letzten Monats fort: Die Mehrheit der erkannten Bedrohungen sind böswillige Erweiterungen für Browser, unerwünschte Apps und Adware.

Die Zahl der böswilligen und nicht empfohlenen Webseiten stieg um 28,04%. Eine dieser Webseiten verbreitete einen Banking-Trojaner, Stealer sowie eine Video- und Audioverarbeitungssoftware. Darüber wurde bereits Anfang April berichtet. Außerdem warnten die Virenanalysten von Doctor Web über Phishing-Mails von angeblichen Adressen bekannter Unternehmen.

Bedrohung des Monats

Die Virenanalysten von Doctor Web warnten Nutzer über die Kompromittierung der offiziellen Webseite einer beliebten Video- und Audiobearbeitungssoftware. Die Hacker ersetzten den Download-Link und luden zusammen mit dem Editor den gefährlichen Banking-Trojaner Win32.Bolik.2 und Trojan.PWS.Stealer (KPOT Stealer) herunter. Diese Trojaner wurden speziell dafür entwickelt, um Web-Injektionen durchzuführen, den Traffic abzufangen, das Keylogging durchzuführen und Daten aus Bankkundensystemen verschiedener Kreditinstitute zu klauen. Darüber hinaus ersetzten die Hacker den Schädling Win32.Bolik.2 durch einen anderen, eine Variation des Trojan.PWS.Stealer (KPOT Stealer).

Dieser Trojaner klaut Daten aus Browsern, Microsoft-Konten, Messengern und anderen Apps.

Mehr zur Bedrohung.

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Softobase.12

Die Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.Ubar.13

Das Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Starter.7394

Der Trojaner, der zum Starten anderer Malware eingesetzt wird.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Malware im E-Mail-Traffic

Exploit.ShellCode.69

Das angepasste Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.CVE2012-0158

Das angepasste Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

Trojan.Encoder.26375

Der Erpresser, der Dateien auf dem PC verschlüsselt und für die Dekodierung ein Lösegeld vom Opfer verlangt.

W97M.DownLoader.2938

Die Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Encoder

Support-Anfragen aufgrund von Encodern im April 2019:

• Trojan.Encoder.858 — 17.95%
• Trojan.Encoder.18000 — 14.65%
• Trojan.Encoder.11464 — 7.69%
• Trojan.Archivelock — 5.49%
• Trojan.Encoder.567 — 3.85%
• Trojan.Encoder.11539 — 3.85%
• Trojan.Encoder.25574 — 2.75%

Gefährliche Webseiten

Im April 2019 wurden 345.999 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im April teilte teilte Doctor Web über den gefährlichen Trojaner Android.InfectionAds.1 mit, der mehrere kritische Schwachstellen von Android ausnutzte. Dank ihnen konnte er apk-Dateien infizieren sowie Apps selbständig installieren und entfernen.

Im Laufe des Monats wurden auf Google Play neue bösartige Apps wie Downloader und Klicker sowie Trojaner aufgespürt, die Logins und Passwörter aus Instagram-Konten klauen und unter den Namen Android.PWS.Instagram.4 und Android.PWS.Instagram.5 geführt werden.

Darüber hinaus wurden die Android-Nutzer durch Trojaner wie Android.Banker.180.origin sowie andere bösartige Apps bedroht.

Hauptereignisse in der mobilen Sicherheitsszene im April 2019:

• Neue Schädlinge wurden auf Google Play entdeckt.
• Verbreitung von neuen Banking-Trojanern

Frankfurt, 11. April 2019

Die Virenanalysten von Doctor Web fanden heraus, dass die offizielle Webseite des beliebten Video- und Audiobearbeitungsprogramms VSDC kompromittiert wurde. Die Hacker ersetzten den Download-Link, weshalb Nutzer zusammen mit der Editor-App den gefährlichen Banking-Trojaner Win32.Bolik.2 und Trojan.PWS.Stealer (KPOT Stealer) heruntergeladen haben.

VSDC ist eine beliebte kostenlose Video- und Audioverarbeitungssoftware. Laut SimilarWeb hat die offizielle Webseite, von der aus dieser Video-Editor heruntergeladen werden kann, monatlich rund 1,3 Millionen Nutzer. Die vom Unternehmen getroffenen Sicherheitsmaßnahmen reichen jedoch oft nicht aus, um eine derartige Webseite mit einem solchen Traffic zu betreiben, was viele Nutzer gefährdet.

Im vergangenen Jahr erhielten unbekannte Hacker den Administratorzugang zur VSDC-Webseite und ersetzten dort Download-Links. Statt eines Video-Editors luden Nutzer eine JavaScript-Datei herunter, die dann AZORult Stealer, X-Key Keylogger und DarkVNC Backdoor herunterlud. VSDC berichtete, dass die Schwachstelle beseitigt wurde. Vor kurzem sind den Virenanalysten von Doctor Web jedoch andere Infektionsfälle aufgefallen.

Gemäß den Virenanalysten von Doctor Web wurde der Computer des VSDC-Entwicklers seit der letzten Infektion mehrmals angegriffen. Einer der Hacks führte vom 21.02.2019 bis 23.03.2019 zur Kompromittierung der Webseite. Diesmal verwendeten Hacker eine andere Methode zur Verbreitung von Malware: Sie haben einen bösartigen JavaScript-Code in die VSDC-Site eingebettet, um Besucher der Webseite orten zu können und einen Download-Link für Nutzer aus Großbritannien, den USA, Kanada und Australien zu ersetzen. Anstatt authentischer VSDC-Links wurden Links zu einer gehackten Webseite verwendet:

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

Nutzer, die das Programm von dieser Webseite heruntergeladen haben, haben auch einen gefährlichen Banking-Trojaner heruntergeladen - Win32.Bolik.2. Wie Win32.Bolik.1 hat auch Win32.Bolik.1 Eigenschaften eines multimodularen polymorphen Dateivirus. Diese Trojaner wurden speziell dafür entwickelt, um Web-Injektionen durchzuführen, Traffic abzufangen, Keylogging durchzuführen und Informationen aus CRM-Systemen verschiedener Kreditinstitute zu stehlen. Aktuell sind den Virenanalysten von Doctor Web mindestens 565 Fälle einer Infektion mit diesem Trojaner über videosoftdev.com bekannt. Bemerkenswert ist auch, dass alle Trojaner-Dateien aktuell nur mit Hilfe von Dr.Web Produkten erfolgreich aufgespürt werden können.

Darüber hinaus ersetzten Hacker am 22.03.2019 Win32.Bolik.2 durch eine weitere Malware – eine Version des Trojan.PWS.Stealer (KPOT Stealer). Dieser Trojaner klaut Informationen aus Browsern, Microsoft-Konten, Messengern und anderen Apps. An nur einem einzigen Tag wurde er von 83 Nutzern heruntergeladen.

Die VSDC-Entwickler wurden über die Kompromittierung ihrer Webseite informiert. Alle Download-Links wurden wiederhergestellt. Doctor Web empfiehlt jedoch allen Nutzern von VSDC-Produkten, ihre Geräte mit Hilfe von Dr.Web auf Malware zu scannen.

Indikatoren der Kompromittierung.

Frankfurt, 3. April 2019

Die Virenanalysten von Doctor Web konnten ihre Analyse des Trojaners, der Counter-Strike 1.6 Spieler angreifen konnte, abschließen. Im Vergleich zum Vormonat machte sich darüber hinaus auch das Wachstum von Malware-Aktivitäten bemerkbar. So haben sich beispielsweise die Aktivitäten von Trojan.MulDrop8.60634 fast verdreifacht und auch die Anzahl der Bedrohungen Trojan.Packed.24060 und Adware.OpenCandy.243 ist im vergangenen Monat drastisch gestiegen. In die Datenbank der nicht empfohlenen und bösartigen Webseiten wurden hingegen vergleichsweise weniger Adressen hinzugefügt. Die Anzahl von Support-Anfragen aufgrund der Datenentschlüsselung nahm jedoch zu.

Bedrohung des Monats

Im März 2019 veröffentlichten die Malwareanalysten von Doctor Web eine detaillierte Studie über einen Belonard Trojaner, der Zero-Day-Schwachstellen im Steam-Client von Counter-Strike 1.6 ausnutzt. Auf dem Computer des Opfers änderte der Trojaner Dateien des Clients und erstellte Spiel-Proxy-Server, um andere Benutzer zu infizieren. Die Anzahl der böswilligen CS 1.6-Server, die mit dem Belonard-Trojaner erstellt wurden, erreichte 39% aller bei Steam registrierten offiziellen Server. Alle Module des Belonard Trojaners werden durch Dr.Web Antivirus erfolgreich erkannt. Dr.Web Nutzer müssen sich daher keine Sorgen machen.

Mehr zum Trojaner.

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Trojan.Packed.24060

Trojaner, der böswillige Erweiterungen für Browser installiert, die über Suchtreffer in Suchmaschinen zu anderen Webseiten weiterleiten.

Adware.Softobase.12

Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.OpenCandy.243

Apps, die andere Software installieren und durch Entwickler zum Zwecke der Monetisierung verwendet werden.

Adware.Ubar.13

Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Starter.7394

Trojaner, der zum Starten anderer Malware eingesetzt wird.

Die Zahl der folgenden Bedrohungen hat abgenommen:

Trojan.MulDrop8.60634

Dieser Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Malware im E-Mail-Traffic

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Trojan.SpyBot.699

Banking-Trojaner, der es Cyber-Kriminellen ermöglicht, verschiedene Apps auf ein infiziertes Gerät hochzuladen und Befehle zu senden. Auf diese Weise können Cyber-Verbrecher Geld von Bankkonten der Nutzer klauen.

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

Trojan.PWS.Stealer.23680

Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.

Encoder

Support-Anfragen aufgrund von Encodern im März 2019:

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

Gefährliche Webseiten

Im März 2019 wurden 270.227 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für mobile Geräte

Im vergangenen Monat wurden auf Google Play neue böswillige Apps entdeckt. Darunter befinden sich u.a. Trojaner aus der Familie Android.FakeApp, die sich unter dem Deckmantel einer App für die Generierung des Einkommens im Internet verbreiten. Diese laden Webseiten, auf denen Nutzer aufgefordert werden, Fragen von einem vermeintlichen Sponsor zu beantworten. Für die Teilnahme an einer solchen Umfrage wird den Teilnehmern eine Entlohnung versprochen. Um eine Entlohnung zu erhalten sollen die Nutzer eine Provision auf ein vorgegebenes Konto überweisen. De Facto gibt es jedoch keine Entlohnung und die Nutzer senden ihr Geld an Cyber-Kriminelle.

Weiterhin wurden auch einige Exemplare von Android.HiddenAds entdeckt. Diese zeigen Werbebanner an und verhindern die Arbeit auf Android-Geräten.

Cyber-Kriminelle hören nicht auf, Banking-Trojaner zu verbreiten. Über einen solchen Banking-Trojaner wurde bereits in dieser Meldung berichtet. Der Schädling, der auch unter dem Namen Flexnet bekannt ist, klaut Geld von Bankkonten und mobile Guthaben der Nutzer.

Ende März haben die Malwareanalysten von Doctor Web Details zur Schwachstelle im beliebten UC Browser für Android bekanntgegeben, der Plug-ins unter Umgehung von Google Play-Servern herunterladen kann. Cyber-Kriminelle konnten diese Schwachsteller zur Verbreitung von Trojanern ausnutzen.

Hauptereignisse in der mobilen Sicherheitsszene im März 2019:

• Es wurde eine Sicherheitslücke im UC Browser gefunden.
• Verbreitung von Malware auf Google Play.
• Verbreitung von Banking-Trojanern.

Mehr zur Lage in der mobilen Sicherheitsszene erfahren Sie hier.

Frankfurt, 11. März 2019

Die Malware-Analysten von Doctor Web fanden heraus, dass der Trojaner Trojan.Belonard zu seiner Einschleusung eine Zero-Day-Sicherheitslücke in Counter-Strike 1.6 ausnutzte. Der Trojaner ersetzte dabei einzelne Client-Dateien und eine Liste von verfügbaren Spielservern.

Trojan.Belonard gelangte auf die Rechner der Spieler, sobald er eine Verbindung zu einem böswilligen Spielserver aufbauen konnte. Der Schädling nutzte dabei Schwachstellen des Spiel-Clients aus und konnte sowohl Steam-Versionen als auch Piraten-Builds von Counter-Strike 1.6 (CS 1.6) infizieren. Auf dem Computer des Opfers änderte der Trojaner Client-Dateien und erstellte Proxy-Server, um andere Benutzer zu infizieren. Diese Technik ermöglichte es Cyber-Kriminellen, Spiele zu bewerben und damit Geld zu verdienen.

Die Zahl der Online-Spieler mit offiziellen CS-Clients 1.6 liegt aktuell im Durchschnitt bei 20.000 und die Gesamtzahl der in Steam registrierten Spielserver beläuft sich auf über 5.000. Verkauf, Vermietung und Bewerbung von Spielservern sind zu einem echten Geschäft geworden und werden als Dienstleistungen auf verschiedenen Webseiten angeboten. Eigentümer von Servern bezahlen oft für solche Dienste, wissen aber nicht, dass für die Bewerbung ihrer Server Malware eingesetzt werden kann. Solche illegalen Methoden verwendete bspw. ein Entwickler unter dem Spitznamen Belonard: Sein Server infizierte andere Spieler mit einem Trojaner und nutzte ihre Konten zur Bewerbung weiterer Spielserver aus.

Die Anzahl der schädlichen CS-Server 1.6, die mit dem Belonard-Trojaner erstellt wurden, hat inzwischen 39% aller bei Steam registrierten offiziellen Server erreicht. Die CS-Community wird mit diesem Problem seit langem konfrontiert. Leider erkannte die Virenschutzsoftware bisher nur Teile des Belonard-Trojaners und nicht den Schadcode als Ganzes. Jetzt werden alle Module des Belonard-Trojaners durch Dr.Web Antivirus ausfindig gemacht und stellen für Dr.Web Nutzer keine Bedrohung dar. Mehr zur Funktionsweise des Trojaners finden Sie in unserem englischsprachigen Ermittlungsbericht.

Frankfurt, 1. März 2019

Im Februar 2019 ist die Anzahl von Bedrohungen im Vergleich zum Vormonat um 9,73% zurückgegangen. Malware-Aktivitäten blieben generell auf dem Niveau vom Dezember 2018. Bei einigen Bedrohungen gab es aber eine leichte Dynamik. So drängte beispielsweise JS.Miner.28, dessen Aktivitäten im Januar zunahmen, seinen Konkurrenten JS.Miner.11. Trojan.Starter.7394 stieg um 14,29% gegenüber Januar an und Trojan.DownLoader26.28109 ging fast ums Dreifache zurück. Darüber hinaus wurden 1,68% weniger Domains in die Datenbank der nicht empfohlenen Webseiten aufgenommen. Die Zahl von Support-Anfragen aufgrund der Datenentschlüsselung ging ebenfalls zurück.

Serverstatistik von Doctor Web

Bedrohungen des Monats:

Adware.Softobase.12

Adware, die alte Apps verbreitet und Browser-Einstellungen anpasst.

Adware.Ubar.13

Torrent-Client, der unerwünschte Software auf dem Rechner installiert.

Trojan.Starter.7394

Trojaner, der zum Starten anderer Malware eingesetzt wird.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Trojan.MulDrop8.60634

Der Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.

Die Anzahl der folgenden Bedrohungen hat abgenommen:

Trojan.Encoder.11432

Auch als WannaCry bekannt. Der Schädling verschlüsselt Dateien der Nutzer und verlangt ein Lösegeld für die Dekodierung. Im Mai 2017 waren Geräte auf der ganzen Welt davon betroffen.

Trojan.DownLoader26.28109

Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.

Malware im E-Mail-Traffic

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

JS.Miner.28

JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt.

Trojan.PWS.Stealer.23680

Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.

Encoder

Support-Anfragen aufgrund von Encodern im Februar 2019:

• Trojan.Encoder.858 — 31.39%;
• Trojan.Encoder.18000 — 10.18%;
• Trojan.Encoder.11464 — 4.67%;
• Trojan.Encoder.11539 — 4.67%;
• Trojan.Encoder.567 — 2.34%;
• Trojan.Encoder.25814 — 2.34%.

Gefährliche Webseiten

Im Februar 2019 wurden 288.159 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Im vergangenen Monat haben die Virenanalysten von Doctor Web eine Vielzahl von bösartigen und unerwünschten Programmen für Android OS identifiziert. Mitte Februar registrierte man z.B. eine Werbekampagne, die Cyber-Kriminelle zur Verbreitung von Android.HiddenAds einrichteten. Auf Instagram und YouTube wurde potenziellen Opfern angeboten, Programme zur Bearbeitung von Fotos und Videos zu installieren. In diesen Apps steckten jedoch Trojaner.

Im Februar wurden darüber hinaus mehrere neue Kennungen in die Virendatenbank aufgenommen, um böswillige Apps der Android.FakeApp-Familie zu erkennen. Diese Trojaner riefen betrügerische Webseiten auf, wo Benutzer gegen Geld zur Teilnahme an Umfragen aufgefordert wurden. Um eine Gutschrift zu erhalten, mussten potenzielle Opfer zunächst eine Gebühr zahlen und ihre Identität bestätigen. Im Gegenzug gab es jedoch keine Belohnung.

Weiterhin verbreiteten Virenschreiber den Trojaner Android.RemoteCode.2958, der andere böswillige Apps auf Android-Geräte herunterlud. Android.Proxy.4 wurde aufgespürt, der infizierte Smartphones und Tablets in Proxy-Server verwandelte. Auch Kennungen für Adware.Sharf.2 und neue Vertreter der Adware.Patacore-Familie wurden in die Virendatenbank aufgenommen.

Hauptereignisse in der mobilen Sicherheitsszene im Februar 2019:

• Verbreitung von böswilligen Apps auf Google Play.

Frankfurt, 1. Februar 2019

Die Virenanalysten von Doctor Web verzeichneten für Januar 2019 viele interessante und beunruhigende Trends. Gegen Mitte des Monats wurden Krypto-Besitzer von einem Trojaner angegriffen, der sich unter dem Deckmantel eines nützlichen Programms verbreitete. Im Vergleich zum Vormonat stieg die Zahl der mit Trojaner.Winlock.14244 infizierten Geräte um 28%. Darüber hinaus wurden 50% mehr bösartige Dateien per Email versendet, welche Sicherheitslücken in Microsoft Office ausnutzten.

Bedrohung des Monats

Im Januar 2019 entdeckten die Virenanalysten von Doctor Web einen Trojaner innerhalb einer App zum Verfolgen von Kryptowährungskursen. Die Malware wurde zusammen mit dem Tool verbreitet und installierte weitere Trojaner auf infizierten Geräten. Mit diesen Programmen konnten Hacker persönliche Daten der Benutzer klauen - einschließlich der Passwörter aus Krypto-Wallets.

Mehr zum Trojaner.

Serverstatistik von Doctor Web

Trojan.Winlock.14244

Der Schädling blockiert den Zugriff auf das Betriebssystem und seine Hauptfunktionen und verlangt ein Lösegeld für die Entsperrung.

Adware.Downware.19283

Die Installationssoftware wird zusammen mit raubkopierten Inhalten verbreitet. Während der Installation kann sie Browsereinstellungen ändern und andere unerwünschte Programme installieren.

Trojan.DownLoader26.28109

Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.

Trojan.Encoder.11432

Auch als WannaCry bekannt. Der Schädling verschlüsselt Dateien der Nutzer und verlangt ein Lösegeld für die Dekodierung. Im Mai 2017 waren Geräte auf der ganzen Welt davon betroffen.

Trojan.Starter.7394

Trojaner, der böswillige Apps ohne Zustimmung des Nutzers herunterlädt und startet.

Trojan.MulDrop8.60634

Der Trojaner installiert weitere Trojaner im System. Alle installierten Komponenten sind in Trojan.MulDrop enthalten.

Trojan.Zadved.1313

Die Werbe-App leitet Nutzer auf Webseiten der Werbetreibenden weiter und zeigt unerwünschte Werbung an.

Malware für E-Mail-Traffic

JS.DownLoader.1225

JavaScripts, die böswillige Apps auf den PC herunterladen und installieren.

Exploit.Rtf.CVE2012-0158

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

W97M.DownLoader.2938

Familie von Trojanern, die Sicherheitslücken in Apps ausnutzt und andere böswillige Apps auf den PC herunterlädt.

Exploit.ShellCode.69

Angepasstes Microsoft Office Word Dokument, welches die Schwachstelle CVE2012-0158 zum Ausführen des Schadcodes ausnutzt.

Trojan.PWS.Stealer.23680

Familie von Trojanern, die Passwörter und andere vertrauliche Daten vom infizierten Gerät klaut.

Trojan.Nanocore.23

Gefährlicher Trojaner, welcher auf Befehl der Cyber-Kriminellen die Kamera und das Mikrofon per Fernzugriff kontrollieren kann.

JS.Miner.28

JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt

Trojan.Fbng.8

Der Trojaner (auch unter dem Namen FormBook bekannt) klaut persönliche Daten des Nutzers vom infizierten Gerät und kann Befehle vom Server des Entwicklers erhalten.

Trojan.Encoder.26375

Der Trojaner verschlüsselt Daten der Opfer und verlangt ein Lösegeld für die Dekodierung.

JS.Miner.11

JavaScripts zum verdeckten Schürfen von Kryptowährungen. Die Skripts sind auch als Alternative zu CoinHive bekannt.

Die böswilligen Aktivitäten von Trojan.SpyBot.699 gingen im Dezember leicht zurück, sind aber in den letzten drei Monaten immer noch sichtbar. Der Banking-Trojaner ermöglicht es Cyber-Kriminellen, verschiedene Apps auf das infizierte Gerät herunterzuladen, zu starten und deren Befehle auszuführen. Der Trojaner wurde entwickelt, um Geld von Bankkonten der Nutzer zu klauen.

Encoder

Support-Anfragen aufgrund von Encodern im Januar 2019:

• Trojan.Encoder.858 — 26.32%
• Trojan.Encoder.11464 — 12.63%
• Trojan.Encoder.11539 — 7.72%
• Trojan.Encoder.25574 — 1.58%
• Trojan.Encoder.567 — 5.96%
• Trojan.Encoder.5342 — 0.88%

Gefährliche Webseiten

Im Januar 2019 wurden 293.012 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Auf Google Play wurde im vergangenen Monat eine Vielzahl von Schädlingen aufgespürt. Darunter sind u.a. Vertreter von Android.DownLoader, die Android-Banker auf mobile Geräte herunterladen. Außerdem verbreiteten Cyber-Kriminelle Trojaner wie Android.HiddenAds.361.origin und Android.HiddenAds.356.origin. Nach dem Start versteckten sie ihre Desktop-Verbindungen und zeigten unerwünschte Werbung an. Ende Januar wurden mehrere Vertreter der Android.Click-Familie entdeckt, die auf Befehl eines Verwaltungsservers beliebige Webseiten aufrufen können. Außerdem wurden Nutzer von Android.Spy.525.origin bedroht. Dieser Bösewicht klaute deren sensiblen Daten.

Hauptereignisse in der mobilen Sicherheitsszene:

• Entdeckung vieler neuer Schädlinge auf Google Play
• Verbreitung eines Trojaner-Spions

Frankfurt, 28. Dezember 2018

Im letzten Monat des Jahres 2018 gab es in der Malware-Szene keine bemerkenswerten Ereignisse. Nichtsdestotrotz ist unter den auf PCs gefundenen Schädlingen vor allem auf den in JavaScript geschriebenen Schadcode hinzuweisen. Der größte Teil des Schadcodes ist für das Herunterladen von weiteren schädlichen Apps und das unerlaubte Schürfen von Kryptowährung auf PCs gedacht. Auf Festplatten findet sich darüber hinaus u.a. der Banking-Trojaner Trojan.SpyBot.699. Mit seiner Hilfe können Cyber-Kriminelle Befehle auf einem Remote-PC ausführen lassen und weitere böswillige Apps starten.

Serverstatistik von Doctor Web

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten sowie Geld von Bankkonten klaut.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

VBS.DownLoader

Böswillige VBS-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Malware im E-Mail-Traffic

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten sowie Geld von Bankkonten klaut.

W97M.DownLoader

Trojaner, die Sicherheitslücken in Office-Apps ausnutzen und weitere böswillige Software auf einen Zielrechner herunterladen.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Encoder

Support-Anfragen aufgrund von Encodern im Dezember 2018:

• Trojan.Encoder.858 — 22.34% Anfragen;
• Trojan.Encoder.11464 — 11.71% Anfragen;
• Trojan.Encoder.11539 — 10.17% Anfragen;
• Trojan.Encoder.25574 — 5.08% Anfragen;
• Trojan.Encoder.567 — 4.93% Anfragen;
• Trojan.Encoder.5342 — 1.54% Anfragen.

Gefährliche Webseiten

Im Dezember 2018 wurden 257.197 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Malware für mobile Geräte

Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling Android.BankBot.495.origin ausfindig. Dieser griff Nutzer in Brasilien an, klaute ihre Online-Banking-Daten und konnte andere Apps wie Accessibility Service steuern. Darüber hinaus wurden auch Werbetrojaner wie Adware.HiddenAds und Adware.Patacore sowie weitere unerwünschte Apps aufgespürt. Auch eine neue Version der Spyware Program.Spyzie.1.origin, die das Ausspionieren von Nutzern ermöglicht, wurde entdeckt.

Hauptereignisse in der mobilen Sicherheitsszene:

• Verbreitung eines Banking-Trojaners, der Nutzer in Brasilien angreift;
• Entdeckung einer neuen Version von Spyware;
• Aufspürung mehrerer böswilliger und unerwünschter Apps auf Google Play.

Frankfurt, 28. Dezember 2018

Im vergangenen Jahr wurden Android-Nutzer erneut von einer Reihe böswilliger und unerwünschter Apps angegriffen. Viele dieser Apps wurden über Google Play verbreitet. Folgender Trend wird deutlich: Trojaner mit speziellen Methoden tarnen.

Eine der Hauptbedrohungen für Nutzer in den letzten 12 Monaten waren Android-Banker, die Finanzinstitute auf der ganzen Welt angriffen. Malware, die einen beliebigen Schadcode aus dem Internet herunterladen und ausführen konnte, stellte ebenfalls eine ernsthafte Bedrohung dar.

Virenautoren verbreiteten Trojaner, um betrügerische Programme zu implementieren, und setzten andere bösartige Apps ein, um an das Geld der Nutzer zu kommen. Darüber hinaus versuchten Cyber-Kriminelle mit Hilfe sogenannter Clipper, Kryptowährung zu klauen, indem sie die IDs von elektronischen Wallets in der Zwischenablage änderten.

Das Problem der Infizierung von Firmware in der Produktionsphase bleibt immer noch aktuell. Im Frühjahr entdeckten die Virenanalysten von Doctor Web einen Trojaner, der in Android eingebettet war. Über 40 Modelle mobiler Geräte wurden kompromittiert.

Die interessantesten Fälle

Anfang 2018 spürten die Virenanalysten von Doctor Web die Verbreitung von Android.CoinMine.15 auf. Der Trojaner infizierte Smart TVs, Router, Spielkonsolen sowie andere Android-Geräte über den Android Device Bridge Debugger. Zunächst generierte Android.CoinMine.15 zufällige IP-Adressen und versuchte, eine Verbindung zum Port 5555 aufzubauen. Wenn die Verbindung erfolgreich war, installierte er eine Kopie seines Trojaners auf einem zugänglichen Gerät inklusive der Software zum Schürfen von Monero (XMR).

Im März berichteten die Virenanalysten von Doctor Web von einem neuen Fall von Android.Triada.231. Der Schädling war in über 40 Modellen von Android-Smartphones und Tablets integriert. Unbekannte Täter betteten Android.Triada.231 in eine Systembibliothek auf Quellcode-Ebene ein, während andere Vertreter von Android.Triada in der Regel als eigenständige Apps verbreitet werden. Der Trojaner integriert sich in den Zygote-Prozess, der wiederum andere Apps startet. Als Folge infiziert Android.Triada.231 andere Prozesse und kann böswillige Funktionen ausführen. So kann er Apps gegen den Willen des Nutzers herunterladen, installieren oder deinstallieren.

Angreifer verwenden zunehmend Methoden, um die Erkennung von böswilligen und unerwünschten Apps zu verhindern. Im Jahr 2018 setzte sich dieser Trend fort. Eine beliebte Methode, die Präsenz von Malware zu vertuschen, ist der Einsatz von sogenannten Loadern. Diese können Trojaner und andere gefährliche Software für längere Zeit außerhalb der Reichweite von Virenschutzsoftware halten und bei potenziellen Opfern den Verdacht auf Malware verringern. Mit solchen Loadern können Cyber-Kriminelle verschiedene Schädlinge wie z.B. Spyware verbreiten.

Im April 2018 spürten die Virenanalysten von Doctor Web Android.DownLoader.3557 auf Google Play auf. Er lud sich auf Geräte der Nutzer herunter und forderte sie auf, Android.Spy.443.origin und Android.Spy.444.origin zu installieren. Diese Schädlinge verfolgten den Standort von Smartphones und Tablets, erhielten Informationen über alle zugänglichen Dateien, konnten Dokumente der Opfer an Cyber-Kriminelle senden sowie Kurznachrichten abfangen, Daten aus der Kontaktliste klauen, Videos aufzeichnen, Gespräche abhören und noch vieles mehr.

Im August konnten die Malwareanalysten von Doctor Web Android.DownLoader.784.origin auf Google Play ausfindig machen. Dieser lud einen anderen Schädlings namens Android.Spy.409.origin auf das Gerät des Opfers herunter. Android.DownLoader.784.origin wurde unter dem Deckmantel der Zee Player App verbreitet, die Nutzern erlaubte, Fotos und Videos zu verstecken. Die App war funktionsfähig und erregte beim Opfer keinen Verdacht auf Malware.

Downloader werden immer häufiger zur Verbreitung von Android-Banking-Trojanern eingesetzt. So wurde im Juli auf Google Play Android.DownLoader.753.origin entdeckt. Einige solcher Apps sind funktionsfähig, um zunächst das Vertrauen der Nutzer zu gewinnen. Android.DownLoader.753.origin lud verschiedene Banking-Trojaner zum Klauen von sensiblen Daten herunter und versuchte, diese zu installieren.

Später wurden weitere böswillige Apps auf Google Play entdeckt. Eine davon ist unter dem Namen Android.DownLoader.768.origin bekannt. Der Schädling wurde durch Cyber-Kriminelle unter dem Deckmantel der Shell-Software verbreitet. Ein weiterer Schädling namens Android.DownLoader.772.origin wurde als nützliches Tool verbreitet. Beide Trojaner wurden zum Herunterladen und Installieren von anderen Android-Bankern eingesetzt.

Downloader infizieren mobile Geräte mit anderer Malware. Im Oktober entdeckten die Virenanalysten von Doctor Web Android.DownLoader.818.origin, der auf Google Play unter dem Deckmantel eines VPN-Clients verbreitet wurde. Später entdeckten die Analysten in gefälschten Spielen mehrere Modifikationen dieser böswilligen App. Die Schädlinge wurden als Android.DownLoader.819.origin und Android.DownLoader.828.origin getauft und sollten nach Plan der Cyber-Kriminellen Werbe-Apps installieren. Mehr dazu in unserem Beitrag.

Böswillige Apps mit mehreren Modulen wurden immer häufiger eingesetzt. Jedes der Module führt bestimmte Funktionen aus. Dabei können Angreifer die Fähigkeiten der Trojaner bei Bedarf erweitern. Dieses Funktionsprinzip trägt dazu bei, dass die Erkennung von Bedrohungen verhindert werden kann. Virenautoren können diese Plug-ins schnell aktualisieren und neue hinzufügen, damit der Trojaner mit einem Minimum an Funktionen auskommt und weniger auffällig wird.

Die Virenanalysten von Doctor Web entdeckten einen solchen Schädling im Februar 2018 und nahmen ihn als Android.RemoteCode.127.origin in die Malwaredatenbank auf. Darüber wurde in diesem Beitrag ausführlich berichtet. Der Trojaner, der von 4.500.000 Nutzern installiert worden war, startete weitere böswillige Module. Eines der Plug-ins von Android.RemoteCode.127.origin installierte einen Patch, der in einem gewöhnlichen Bild versteckt war. Diese Methode zum Verstecken von böswilligen Objekten ist bekannt als Steganographie. Sicherheitsanalysten kennen diese Methode bereits, sie wurde aber bis dato durch Cyber-Kriminelle eher selten eingesetzt.

Nachdem sich der Schädling heruntergeladen und gestartet hatte, lud er ein anderes Bild mit dem versteckten Plug-in, welches später Android.Click.221.origin herunterlud und startete. Der Schädling rief Webseiten auf und klickte auf Links und Banner, um damit Geld für Kriminelle zu verdienen.

Beispiele von Bildern mit verschlüsselten Modulen von Android.RemoteCode.127.origin:

Android.RemoteCode.152.origin ist ein weiterer Trojaner, der den Schadcode herunterladen und ausführen kann. Der Schädling, der von über 6.500.000 Nutzern installiert worden war, lud verdeckt zusätzliche Module herunter und startete diese. Damit erstellte der Trojaner unsichtbare Banner, klickte auf diese und verdiente so das Geld für seine Virenschreiber.

Im Herbst wurde auch Android.Clipper.1.origin aufgespürt, der in der Zwischenablage Wallet-IDs von bekannten Zahlungssystemen wie Yandex.Money, Qiwi und Webmoney (R und Z) sowie Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH und Blackcoin unterschob. Beim Kopieren der ID in die Zwischenablage unterschob Android.Clipper.1.origin dem Nutzer eine andere ID. Unaufmerksame Nutzer konnten so ihr Geld unwissend an Cyber-Kriminelle überweisen.

Malware-Landschaft

Laut der Android-Statistik von Doctor Web wurden Android-Geräte vor allem durch Adware-Trojaner und Malware, die böswillige und unerwünschte Apps herunterlädt, sowie Trojaner, die Befehle von Cyber-Kriminellen ausführen, angegriffen.

Android.Backdoor.682.origin

Trojaner, der Befehle von Cyber-Kriminellen ausführt.

Android.Mobifun.4

Vertreter einer Trojaner-Familie, die unerwünschte Werbung anzeigt.

Android.HiddenAds

Vertreter einer Trojaner-Familie, die unerwünschte Werbung anzeigt.

Android.DownLoader.573.origin

Malware, die Apps von Virenschreibern herunterlädt.

Android.Packed.15893

Schädling, der durch Packprogramme geschützte Trojaner erkennt.

Android.Xiny.197

Trojaner, der andere Apps herunterlädt und löscht.

Android.Altamob.1.origin

Malware, die Apps von Virenschreibern herunterlädt.

Unter den unerwünschten und gefährlichen Apps, die auf Android-Geräten gefunden wurden, sind sogenannte Ad-Module am häufigsten anzutreffen. Auch Apps zum Herunterladen und Installieren von böswilliger Software wurden auf Smartphones und Tablets detektiert.

Adware.Zeus.1

Adware.Altamob.1.origin

Adware.Jiubang

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.SalmonAds.3.origin

Adware.Gexin.2.origin

Virenschreiber betteten unerwünschte Module in Apps ein, die aggressive Werbung anzeigen.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Potenziell gefährliche Programme zum Herunterladen und Installieren von Apps.

Banking-Trojaner

Banking-Trojaner bleiben nach wie vor eine gefährliche Bedrohung für Online-Banking-Nutzer. Diese Schädlinge klauen Logins und Passwörter von Online-Banking-Konten der Nutzer sowie weitere sensible Daten, um an das Geld der Nutzer zu kommen. Im Laufe der letzten 12 Monate wurden dank Dr.Web für Android über 110.000 Trojaner auf Smartphones und Tablets ausfindig gemacht. Sämtliche Malwarefunde im Jahresverlauf sind wie folgt abgebildet:

Auch Banking-Trojaner für Android wurden massenhaft verbreitet. Als Grundlage für die Entwicklung des Schädlings diente das online verfügbare Muster von Android.BankBot.149.origin. So konnten Cyber-Kriminelle mit Hilfe der Schädlinge Android.BankBot.250.origin und Android.BankBot.325.origin nicht nur persönliche Daten der Nutzer stehlen, sondern auch den Zugang zu infizierten Geräten bekommen.

Nutzer erlebten auch im Jahre 2018 erneut Angriffe von Banking-Trojanern, die es auf das Geld der Nutzer in Russland, der Türkei, Brasilien, Spanien, Deutschland, Frankreich sowie anderen Staaten abgesehen haben. Im Frühling haben die Virenanalysten von Doctor Web den Trojaner Android.BankBot.344.origin ausfindig gemacht. Dieser verbreitete sich unter dem Deckmantel einer Banking-App und attackierte die Kundschaft von einigen in Russland ansässigen Banken.

Android.BankBot.344.origin fragte beim potenziellen Opfer nach Login und Passwort für sein Online-Banking-Konto sowie nach seiner Kreditkartennummer und leitete diese Daten an Cyber-Kriminelle weiter.

Im Herbst machten die Virenanalysten von Doctor Web den Bösewicht Android.Banker.2876 ausfindig. Dieser verbreitete sich über Google Play. Cyber-Kriminelle setzten ihn zum Klauen von vertraulichen Daten von Kunden einiger europäischer Banken ein. Der Schädling fing Kurznachrichten, Telefonnummern sowie weitere persönliche Daten beim Opfer ab.

Im Dezember spürten die Virenanalysten von Doctor Web den Schädling Android.BankBot.495.origin auf Google Play auf. Dieser griff Nutzer in Brasilien an, klaute ihre Online-Banking-Daten und konnte andere Apps wie Accessibility Service steuern. Android.BankBot.495.origin zeigte auch gefälschte Formulare an und versuchte mit deren Hilfe, Logins und Passwörter der Nutzer herauszufischen.

Betrug

Cyber-Kriminelle setzen aktiv Malware für Android für ihre betrügerischen Kampagnen ein. 2018 wurde eine Reihe solcher Trojaner entdeckt. Einer davon ist Android.Click.245.origin. Er rief Webseiten auf, von denen Nutzer beliebige Apps herunterladen konnten, und fragte den Nutzer nach seiner Mobiltelefonnummer, an die später ein Verifizierungscode versendet wurde. So abonnierte der Schädling kostspielige Dienste für den naiven Nutzer. Gelegentlich wurde sogar automatisch ein Abo erstellt. Nachfolgend ein Beispiel dafür:

Unter den auf Google Play gefundenen Trojanern sind auch solche, die eine Webseite auf Befehl der Cyber-Kriminellen oder ihres Verwaltungsservers aufriefen. Dazu gehören u.a. Android.Click.415, Android.Click.416, Android.Click.417, Android.Click.246.origin, Android.Click.248.origin und Android.Click.458. In der Regel wurden diese Schädlinge für nützliche Apps (Kochbücher, Stimmenassistenten, Spiele usw.) ausgegeben.

Cyber-Kriminelle verbreiteten auch Android.FakeApp: Familie von Android-Trojanern, die schädliche Webseiten mit gefälschten Umfragen aufrufen. Nutzer wurden aufgefordert, für eine Entschädigung ein paar einfache Fragen zu beantworten. Um an der Umfrage teilzunehmen, sollten diese jedoch für Verifizierungszwecke einen kleineren Betrag überweisen. Kein Wunder, dass die Nutzer keine Geld-Zurück-Garantie hatten und so ihr Geld verloren.

Im Laufe des Jahres haben die Virenanalysten von Doctor Web mehrere böswillige Apps aufgespürt, darunter Android.FakeApp und Android.Click, die von mindestens 85.000 Android-Nutzern installiert wurden.

Aussichten und Trends

Auch 2019 werden Nutzer mobiler Geräte wieder mit Angriffen von Banking-Trojanern rechnen müssen. Autoren von Viren & Co. werden die Funktionalität von Schädlingen weiter verbessern. Es ist wahrscheinlich, dass sich mehr Android-Banker in multifunktionale Malware verwandeln werden.

Auch die Zahl der betrügerischen Apps und Werbetrojaner wird zunehmen. Virenschreiber werden weiterhin versuchen, die Rechenleistung von Android-Geräten zum Schürfen von Kryptowährung anzuzapfen. Es ist nicht ausgeschlossen, dass es in der Zukunft weitere Fälle von Firmware-Infektionen gibt.

Cyber-Kriminelle werden weiterhin an ihren Methoden zum Umgehen von Virenschutzsoftware feilen. Böswillige Apps mit neuen Funktionsprinzipien und neuen Methoden zum Entwenden von vertraulichen Daten können auftauchen. Diese können mobile Geräte und Eye-Tracking-Techniken verwenden, um getippte Meldungen abzulesen. Darüber hinaus könnte neue Malware maschinelle Lernalgorithmen und andere Mittel der künstlichen Intelligenz zum Vorteil von Angreifern einsetzen.

Frankfurt, 28. Dezember 2018

Das Jahr 2018 wurde in erster Linie durch die Verbreitung von Mining-Trojanern gekennzeichnet. Diese wurden von Cyber-Kriminellen zum Schürfen von Kryptowährung verwendet. Auch neue Schädlinge für Windows und Linux behelligten die Nutzer. Encoder, die Daten der Nutzer verschlüsselten und für die Dekodierung ein Lösegeld verlangten, haben immer noch hohe Positionen im Malware-Ranking inne. So spürten die Virenanalysten von Doctor Web im Februar und April 2018 zwei Trojaner auf, die trotz aller Zusicherungen, die Dekodierung nach Bezahlung des Lösegeldes durchzuführen, die beschädigten Daten nicht wiederherstellen konnten.

Ende März nahmen die Virenanalysten von Doctor Web den Trojaner Trojan.PWS.Stealer.23012, der sich auf YouTube verbreitete, unter die Lupe. Der Schädling war auf Python geschrieben und zum Klauen sensibler Daten von infizierten Geräten gedacht. Infolge der Ermittlungen wurde der Entwickler des Schädlings und dessen Versionen ausfindig gemacht. Später wurde ein weiterer Cyber-Krimineller identifiziert, der persönliche Daten von Steam-Nutzern mit Hilfe von Trojan.PWS.Steam.13604 klaute. Die Tätigkeiten eines weiteren Bösewichts, der mit dem unerlaubten Schürfen von Kryptowährungen zehntausende US-Dollar verdiente, wurden ebenfalls entlarvt.

Cyber-Kriminelle waren das ganze Jahr aktiv, indem sie ihre Opfer auf gefälschte Websites lockten und mit Massenmailings belästigten. Die Betrüger verschickten zu Beginn des Jahres gefälschte Mails im Namen von Mail.Ru Group, um Logins und Passwörter der Nutzer herauszufinden. Im Frühjahr versendeten sie dann vermeintliche Entschädigungsangebote. Im Sommer belästigten sie weiterhin Domain-Administratoren, indem sie sich als vermeintliche Mitarbeiter von RU-CENTER ausgaben und von ihren Opfern Geld für die Verlängerung von Domainnamen verlangten.

Auch Android-Nutzer wurden von Cyber-Kriminellen belästigt. So wurden 2018 auf Google Play infizierte Spiele aufgespürt, die über 4.500.000 Mal heruntergeladen wurden. Später wurde ein Android-Miner identifiziert, der 8% smarter Geräte wie Fernseher, Spielkonsolen, Router sowie weitere IoT-Geräte infizieren konnte.

Im Verlaufe des Jahres warnten Virenanalysten die Android-Nutzer vor der Verbreitung von Banking-Trojanern. Darüber hinaus wurden Fälschungen beliebter Android-Apps entdeckt, die von den Angreifern für Phishing-Zwecke verwendet wurden. Einige Android-Trojaner meldeten Nutzer für verschiedenste kostenpflichtige Dienste an, andere verdienten an ihren Opfern durch unsichtbare Werbung, während die dritten wiederum andere Malware auf das infizierte Gerät herunterluden.

Interessanteste Fälle im Jahr 2018

Im Februar 2018 wurde ein neuer Verschlüsselungstrojaner entdeckt. Dieser wurde von den Virenschreibern als Trojan.Encoder.24384. getauft. Der Schädling verschlüsselte Inhalte von Festplatten sowie Wechseldatenträgern und Network Values. Den verschlüsselten Dateien gab er die Erweiterung *.GDCB. Nach seinem Start auf dem infizierten Rechner prüfte er, ob dort eine Virenschutzsoftware installiert war. Anschließend brach er alle laufenden Apps ab und installierte sich im System. Nach dem Neustart des Rechners verschlüsselte Trojan.Encoder.24384 Dateien auf der Festplatte – mit der Ausnahme von Inhalten aus Dienst- und Systemordern.

Ein weiterer Erpressungstrojaner hieß Trojan.Encoder.25129. Nach seinem Start prüfte dieser den Standort des Benutzers gemäß der IP-Adresse des infizierten Gerätes. Nach Plan der Cyber-Kriminellen unterließ der Schädling die Verschlüsselung, wenn sich die IP-Adresse des Gerätes in Russland, Weißrussland oder Kasachstan befand, oder in den Einstellungen des Betriebssystems die russische Sprache definiert war. Aufgrund eines Fehlers im Code verschlüsselte der Schädling jedoch alle Dateien auf dem infizierten Gerät. Nachdem er dies getan hatte, zeigte er seine Forderung nach Lösegeld an.

Obwohl die Erpresser behaupteten, sie könnten den Betroffenen helfen, war dies wegen einem Fehler im Code des Bösewichts nicht möglich.

Ende März wurde durch die Virenanalysten von Doctor Web Trojan.PWS.Stealer.23012 entdeckt, der Dateien und weitere sensible Daten von Windows-Geräten klaut. Links zum Trojaner wurden durch Cyber-Kriminelle auf YouTube gepostet. In vielen YouTube-Videos werden betrügerische Spielmethoden unter Einsatz bestimmter Tools behandelt. Cyber-Kriminelle versuchten dabei, Schädlinge für solche Tools auszugeben. Der Trojaner sammelte Cookies sowie gespeicherte Logins und Passwörter auf dem infizierten PC, machte Bildschirmaufnahmen und kopierte Dateien vom Arbeitsplatz. Die geklauten Daten wurden zusammen mit Geo-Daten der infizierten Geräte an den Server von Cyber-Kriminellen geschickt.

Einen Monat später konnten die Virenanalysten von Doctor Web den Autor dieser Trojaner identifizieren. Der Schädling und seine vielfältigen Versionen klauten Passwörter und Cookies-Dateien aus Chromium-Browsern, Telegram, dem FTP-Client FileZilla sowie Bilder gemäß der vordefinierten Liste. Eine Version des Schädlings wurde auf Telegram-Channels aktiv beworben. Der Entwickler dieser Schädlinge integrierte die geklauten Logins und Passwörter in seine Malware und machte sich dadurch für Virenanalysten von Doctor Web sichtbar.

Der Entwickler der Schädlinge Trojan.PWS.Steam.13604 und Trojan.PWS.Steam.15278 erfand eine spezielle Methode zu deren Verbreitung. Cyber-Kriminelle, die mit Hilfe von Malware etwas Geld verdienen wollten, mussten nur noch die Malware bezahlen und eventuell über eine Domain verfügen. Der Virenschreiber stellte seinen Kollegen danach den Trojaner selbst sowie einen Zugang zur Verwaltungsoberfläche und den Support bereit.

Die Malwareanalysten von Doctor Web kennen die Verbreitungsmethode via Update-Verfahren bereits und konnten z.B. die Schädlinge Trojan.Encoder.12544 (Petya, Petya.A, ExPetya und WannaCry-2) aufspüren. Diese drangen in Systeme der Computerclubs und Internetcafés ein und infizierten im Zeitraum vom 24. Mai bis 4. Juli 2018 über 2.700 PCs.

Im September wurde Trojan.PWS.Banker1.28321 entdeckt, der sich unter dem Deckmantel von Adobe Reader verbreitete und Kunden von einigen Banken in Brasilien bedrohte.

Der Trojaner unterschob Nutzern gefälschte Login-Webseiten zum Eingeben von Login und Passwort. In einigen Fällen wurde man aufgefordert, einen Verifizierungscode, der an die Mobiltelefonnummer des Nutzers versendet wurde, einzugeben. All diese Daten wurden dann an Cyber-Kriminelle weitergeleitet. Die Malwareanalysten von Doctor Web haben insgesamt 340 Muster von Trojan.PWS.Banker1.28321 und 129 Domains und IP-Adressen, die Übeltätern gehörten, entdeckt.

Eine weitere Recherche zeigte, dass ein Übeltäter eine ganze Reihe von Schädlingen wie Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony usw. für Phishing-Zwecke eingesetzt und eine gefälschte Kryptowährungsbörse gestartet hat, sowie einen Pool von Mining-Geräten Dogecoin zum Mieten angeboten und ein Partnerprogramm lanciert hat.

Online-Lotterien waren ein weiteres Projekt dieses Übeltäters. Als Preisgeld galt ein bestimmter Betrag in der Kryptowährung Dogecoin. In solchen Lotterien gewinnt man bekanntlich nichts.

Im November 2018 wurde durch die Virenanalysten von Doctor Web noch ein Schädling namens Trojan.Click3.27430 aufgespürt. Der Trojaner wurde für das Generieren von Fake-Traffic entwickelt und läuft unter dem Deckmantel der App DynDNS, die es angeblich ermöglichen soll, die Subdomain ohne IP-Adresse an den Rechner anzubinden. Zur Verbreitung des Trojaners wurde eine spezielle Webseite erstellt.

Aufgrund dieses Trojaners sind bis heute insgesamt 1.400 Nutzer zu Schaden gekommen. Die ersten Fälle waren bereits 2013 bekannt. Mehr zu diesem Trojaner finden Sie in folgendem Beitrag.

Alles rund um Viren & Co

Gemäß der Statistik von Doctor Web waren 2018 der auf JavaScript geschriebene Schadcode, Spyware und böswillige Downloader auf PCs der Nutzer am häufigsten zu finden. Mit Hilfe des Schadcodes versuchten Cyber-Kriminelle, fremde Inhalte in Webseiten einzubetten und Kryptowährungen zu schürfen.

JS.Inject

Böswillige JavaScript-Szenarien, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.Starter.7394

Trojaner, der im infizierten System eine ausführbare Datei mit einem bestimmten Funktionsumfang startet.

Trojan.Encoder.567

Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

VBS.BtcMine

Auf VBS geschriebene JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Die Analyse des E-Mail-Traffics zeigt ein ähnliches Bild auf. In Anhängen ist jedoch weiterhin Spyware häufiger anzutreffen:

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

JS.Inject

Böswillige JavaScript-Szenarien, die den Schadcode in den HTML-Code von Webseiten integrieren.

JS.BtcMine

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.

Trojan.Encoder.567

Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.

Trojan.DownLoader

Böswillige Trojaner, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.PWS.Stealer

Trojaner, die auf infizierten PCs Logins, Passwörter und weitere sensible Daten klauen.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Encoder

2018 gab es im Vergleich zu 2017 weniger Anfragen aufgrund der Infizierung durch Verschlüsselungstrojaner. Der Monat Januar verzeichnete ein Jahrestief. Ein Jahreshoch gab es im November.

Support-Anfragen aufgrund von Encodern im Jahr 2018:

• Trojan.Encoder.858 — 19,83% Anfragen;
• Trojan.Encoder.11464 — 9,64% Anfragen;
• Trojan.Encoder.567 — 5,08% Anfragen;
• Trojan.Encoder.11539 — 4,79% Anfragen;
• Trojan.Encoder.25574 — 4,46% Anfragen.

Malware für Linux

Unter den böswilligen Apps für Linux zeigten sich 2018 Mining-Trojaner besonders aktiv. Die ersten Angriffe auf Linux-Server wurden durch die Virenanalysten von Doctor Web Anfang Mai 2018 registriert. Cyber-Kriminelle bauten eine Verbindung zum Server via SSH auf, suchten mit Hilfe der Bruteforce-Methode nach Login und Passwort des Nutzers und deaktivierten nach ihrer erfolgreichen Autorisierung das Tool iptables, welches für die Verwaltung der Firewall verantwortlich ist. Anschließend luden sie einen Mining-Trojaner und seine Konfigurationsdatei auf den Zielrechner herunter. Später wurde dafür eine andere Malware verwendet. So wurde im August der auf Go erstellte Schädling Linux.BtcMine.82 ausfindig gemacht, welcher auf dem infizierten Gerät einen Mining-Trojaner installierte.

Die Virenanalysten von Doctor Web fanden auf demselben Server weitere Trojaner für Microsoft Windows.

Linux.BtcMine.174 ist nicht der erste Mining-Trojaner, der den Malwareanalysten von Doctor Web auffällt. Der Schädling ist vor allem dadurch interessant, dass er auf dem Rechner nach installierter Virenschutzsoftware sucht und diese dann deinstalliert. Der Trojaner ist in der sh-Sprache geschrieben, enthält über 1.000 Codezeilen und besteht aus mehreren Komponenten, die vom Server der Cyber-Kriminellen heruntergeladen werden. Nach erfolgreicher Installation lädt er den Schädling Linux.BackDoor.Gates.9 herunter, der für DDoS-Angriffe eingesetzt wird.

Gefährliche und nicht empfohlene Webseiten

In die Datenbanken von Office Control und Web-Antivirus SpIDer Gate werden regelmäßig neue Adressen von nicht empfohlenen und potenziell gefährlichen Webseiten aufgenommen. Darunter sind u.a. böswillige Webseiten und Phishing-Ressourcen, von denen böswillige Programme verbreitet werden, zu finden. Das nachfolgende Diagramm zeigt die Verteilung von gefundenen nicht empfohlenen und potenziell gefährlichen Webseiten.

Cyber-Kriminelle im Netz

Betrug gab es schon immer im Netz – das Jahr 2018 war hier keine Ausnahme. So wurde Anfang März ein Massenversand von Phishing-Mails im Namen von Mail.Ru Group registriert. Um an Logins und Passwörter von Mail.Ru-Nutzern zu kommen, erstellten Unbekannte eine ähnliche Webseite des beliebten Dienstes.

Im Mai 2018 berichtete Doctor Web von neuen Methoden der Cyber-Betrüger, die Nutzer über massenhafte Spam- und Phishing-Mails auf speziell angefertigte Webseiten lockten. Die Spammer versprachen, Überzahlungen für Sozial- und Krankenkassenversicherungen zu erstatten. Um die Rückerstattung zu erhalten, sollten einfältige Nutzer einen kleinen Betrag auf das Konto der Betrüger überweisen. Selbstverständlich gab es danach keine Rückerstattung.

Die Virenanalysten von Doctor Web spürten 110 ähnliche Webseiten auf, die von Netzbetrügern im Zeitraum von Februar bis Mai 2018 erstellt wurden. Im August 2018 wurden Domainadministratoren angegriffen, die früher Dienstleistungen von RU-CENTER genutzt haben. Mitte des Monats erhielten sie E-Mails, die angeblich von RU-CENTER stammten. In den Phishing-Mails wurde behauptet, dass Rechnungen für die Registrierung von Domains innerhalb von einem Tag ab Datum des E-Mail-Einganges bezahlt werden sollten.

LBetrüger versenden häufig E-Mails im Namen bekannter Unternehmen. Betroffen war diesmal der Online-Shop Aliexpress, dessen Stammkunden Phishing-Mails mit der Einladung, Links zu Aktionen und Rabatten zu folgen, erhalten haben.

In der Tat war der Online-Shop nichts anderes als eine Sammlung von Links, die den Nutzer zu betrügerischen Marktplätzen weiterleiteten. Die Frage, wie die Kriminellen in den Besitz der Kundendatenbank von Aliexpress gekommen sind, bleibt immer noch unbeantwortet.

Malware für mobile Geräte

Nutzer von Android-Geräten erlebten auch im Jahr 2018 Angriffe von vielen böswilligen Apps. Darunter waren u.a. Banking-Trojaner, die es auf das Geld der Nutzer in Russland, der Türkei, Brasilien, Spanien, Deutschland, Frankreich sowie anderen Staaten abgesehen haben. Im Frühling haben die Virenanalysten von Doctor Web den Trojaner Android.BankBot.344.origin ausfindig gemacht. Dieser verbreitete sich unter dem Deckmantel einer Banking-App und attackierte Kunden von einigen in Russland ansässigen Banken. Android.BankBot.344.origin fragte beim potenziellen Opfer nach Login und Passwort für sein Online-Banking-Konto sowie nach seiner Kreditkartennummer und leitete diese Daten an Cyber-Kriminelle weiter.

Im November 2018 haben die Virenanalysten von Doctor Web Android.Banker.2876 ausfindig gemacht, der sich über Google Play verbreitete. Cyber-Kriminelle setzten ihn zum Klauen von vertraulichen Daten von Kunden einiger europäischer Banken ein. Der Schädling fing Kurznachrichten, Telefonnummer und andere persönliche Daten der Opfer ab.

Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling Android.BankBot.495.origin Im Dezember 2018 machten die Virenanalysten von Doctor Web auf Google Play den Schädling Android.BankBot.495.origin zeigte auch gefälschte Formulare an und versuchte mit deren Hilfe, Logins und Passwörter der Nutzer herauszufinden.

Auch Banking-Trojaner für Android wurden aktiv verbreitet. Als Grundlage für die Entwicklung des Schädlings diente das frei zugängliche Muster von Android.BankBot.149.origin. So konnten Cyber-Kriminelle mit Hilfe der Schädlinge Android.BankBot.250.origin und Android.BankBot.325.origin nicht nur persönliche Daten der Nutzer klauen, sondern auch den Zugang zu infizierten Geräten ergaunern.

Viele Banking-Trojaner gelangten auf Geräte der Nutzer dank Trojanern wie Android.DownLoader.753.origin, Android.DownLoader.768.origin und Android.DownLoader.772.origin. Cyber-Kriminelle gaben diese als nützliche Apps aus. In der Tat dienten sie der Verbreitung anderer böswilliger Apps wie z.B. Android.Spy.409.origin und Android.Spy.443.origin sowie Werbetrojaner wie Android.HiddenAds.710 und Android.HiddenAds.728.

Auch 2018 haben Trojaner der Familie Android.RemoteCode Android-Nutzer verfolgt. Auf infizierten Geräten konnten sie einen beliebigen Code starten. Der im Februar aufgespürte Schädling Android.RemoteCode.127.origin lud Hilfsmodule herunter und startete andere böswillige Plug-ins. Um seine Präsenz zu vertuschen, verschlüsselte er seine Komponenten.

Ein weiterer Trojaner unter dem Namen Android.RemoteCode.152.origin lud Werbemodule herunter und startete diese. Anschließend wurden unsichtbare Banner erstellt, auf die Android.RemoteCode.152.origin immer wieder klickte und so für Cyber-Kriminelle das Geld verdiente.

Cyber-Kriminelle griffen auch auf andere Methoden zurück, um mit Hilfe der Schädlinge an Geld zu kommen. So setzten sie den Mining-Trojaner Android.CoinMine.15 ein, der Android-Geräte wie Router, Spielkonsolen, Mediaplayer und Smart TVs infizierte. Android.CoinMine.15 verbreitete sich als Wurm und drang in Geräte ein, die den Port 5555 offen hatten. Dieser Port wurde durch die Android Device Bridge (ADB) verwendet.

Im Herbst wurde auch Android.Clipper.1.origin aufgespürt, der in der Zwischenablage Wallet-IDs von bekannten Zahlungssystemen wie Yandex.Money, Qiwi und Webmoney (R und Z) sowie Bitcoin, Litecoin, Etherium, Monero, zCash, DOGE, DASH und Blackcoin unterschob. Beim Kopieren der ID in die Zwischenablage unterschob Android.Clipper.1.origin dem Nutzer eine andere ID. Unaufmerksame Nutzer konnten so ihr Geld unwissend an Cyber-Kriminelle überweisen.

Trojaner wurden auch in Betrugskampagnen eingesetzt. In einem Fall wurde Nutzern für die Teilnahme an der Umfrage eine Entschädigung versprochen, die aber gemäß Regel der Kriminellen nur überwiesen werden konnte, wenn Nutzer selbst einen kleinen Betrag an Cyber-Betrüger überwiesen. Nach der Überweisung des Geldes war von den Umfrage-Autoren nichts mehr zu hören. In einem weiteren Fall wurden von Kriminellen sogenannte Klicker eingesetzt, die durch das Klicken auf Anzeigen Geld für ihre Besitzer verdienen sollten.

Trojaner wie bspw. Android.Click.245.origin setzten auf eine andere Methode. Sie riefen Webseiten auf, von denen Nutzer beliebige Apps herunterladen konnten, und fragten Nutzer nach ihren Mobiltelefonnummern. An diese wurden anschließend Verifizierungscodes versendet. So wurden kostspielige Dienste abonniert. In einigen Fällen erfolgte das Abonnieren sogar automatisch.

2018 wurden auch Fälle mit der Infizierung von Android-Firmware registriert. Einer solcher Fälle war die Infizierung von über 40 Smartphone- und Tablet-Modellen durch Android.Triada.231. Die Übeltäter schleusten den Schädling in den Quellcode einer Systembibliothek ein. Android.Triada.231 startete automatisch beim Einschalten von Smartphones und Tablets. Bei seinem Start bettete er sich in den Prozess namens Zygote ein, der auch für den Start anderer Prozesse verantwortlich war. Dabei agierte er unsichtbar für Nutzer und konnte Apps verdeckt herunterladen, installieren und deinstallieren.

Trends

Obwohl es 2018 keine großen Epidemien gab, ist eine massive Verbreitung von Malware in der Zukunft wahrscheinlich. Böswillige Szenarien in verschiedenen Sprachen werden sich weiterhin vermehren und nicht nur Microsoft Windows, sondern auch andere Plattformen wie Linux gefährden.

Auch neue Mining-Trojaner, die Hardware-Ressourcen infizierter Geräte verdeckt ausnutzen, werden Nutzern zusetzen. Das Interesse der Cyber-Kriminellen am IoT wird weiter steigen: Trojaner für smarte Geräte gibt es bereits und in naher Zukunft wird deren Anzahl sicherlich wachsen.

Es gibt jeden Grund zur Annahme, dass Virenschreiber 2019 neue Trojaner für Google Android entwickeln und verbreiten werden. Die Trends des vergangenen Jahres zeigen, dass Werbe- und Banking-Trojaner mit großer Wahrscheinlichkeit die mobile Malware dominieren werden.

Es ist eher unwahrscheinlich, dass betrügerische E-Mails und Newsletter verschwinden: Cyber-Kriminelle werden weiter an neuen Betrugsmethoden tüfteln. Deshalb ist es wichtig, einen zuverlässigen Schutz gegen Viren & Co. zu haben!

Frankfurt, 30. November 2018

Im November 2018 haben die Virenanalysten von Doctor Web einen Mining-Trojaner für Linux erforscht, der die auf dem PC installierte Virenschutzsoftware deinstallieren kann. Außerdem haben sie einen Windows-Clicker und mehrere böswillige Apps für Android ausfindig gemacht.

Bedrohung des Monats

Der Trojaner wird unter dem Namen Trojan.Click3.27430 in der Dr.Web Virendefinitonsdatei gelistet und wurde für das Generieren von Fake-Traffic entwickelt. Der Schädling läuft unter dem Deckmantel der App DynDNS, die es angeblich ermöglichen soll, die Subdomain ohne IP-Adresse an den Rechner anzubinden. Zur Verbreitung des Trojaners wurde eine spezielle Webseite erstellt.

Von dieser Webseite wird ein Archiv mit der Datei setup.exe heruntergeladen, die eine andere Datei herunterlädt. Diese Datei wird als ARJ-Archiv getarnt, welches einen Trojaner und die App DynDNS installiert. Wenn der Nutzer entscheidet, die App zu deinstallieren, wird nur die App DynDNS deinstalliert. Trojan.Click3.27430 wird nicht gelöscht und kann seine böswilligen Aktivitäten weiter durchführen. Mehr zu diesem Trojaner finden Sie in diesem Beitrag.

Serverstatistik von Doctor Web

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.MulDrop

Trojaner, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.Encoder.11432

Wurm, der auch unter dem Namen WannaCry bekannt ist.

Malware im E-Mail-Traffic

JS.DownLoader

Böswillige JavaScript-Szenarien, die weitere Schädlinge auf dem infizierten PC installieren.

Trojan.SpyBot.699

Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten und Geld von Bankkonten klaut.

JS.Miner

JavaScript-Szenarien, die zum verdeckten Schürfen von Kryptowährungen dienen.

Trojan.Encoder.26375

Trojaner, der Dateien auf dem PC verschlüsselt und ein Lösegeld für die Dekodierung vom Opfer verlangt.

Encoder

Support-Anfragen aufgrund von Encodern im November 2018:

• Trojan.Encoder.858 — 32.15% Anfragen;
• Trojan.Encoder.11464 — 11.17% Anfragen;
• Trojan.Encoder.11539 — 10.80% Anfragen;
• Trojan.Encoder.25574 — 4.91% Anfragen;
• Trojan.Encoder.567 — 1.35% Anfragen;
• Trojan.Encoder.10700 — 1.35% Anfragen.

Gefährliche Webseiten

Zu den gängigen Methoden der Cyber-Kriminellen gehört das sogenannte Phishing, mit dem einem Opfer eine speziell erstellte Webseite oder ein Formular untergeschoben wird, welches vertrauliche Nutzerdaten wie Benutzername und Passwort an Cyber-Kriminelle weiterleitet. Diese wiederum können die Daten zur Erpressung der Nutzer verwenden.

Im November 2018 wurden mehrere Kampagnen registriert, in denen Cyber-Kriminelle Nutzer aufforderten, auf einen Link zu klicken, um die Deaktivierung von E-Mail-Konten abzubrechen.

Der Link führte zu einem speziell erstellten Formular, das Benutzerdaten wie Benutzername und Passwort an Cyber-Kriminelle weiterleitete. Das Analystenteam von Doctor Web machte mehrere Webseiten dieser Art ausfindig und trug sie in die Datenbank von nicht erwünschten Webseiten ein.

Im November 2018 wurden 231.074 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

Bedrohungen für Linux

Linux.BtcMine.174 ist nicht der erste Mining-Trojaner, der den Virenanalysten von Doctor Web bekannt ist. Dieser Schädling ist vor allem dadurch interessant, dass er auf dem Rechner nach installierter Virenschutzsoftware sucht und diese deinstalliert.

Der Trojaner stellt ein Szenario dar, das in der sh-Sprache geschrieben ist und über 1.000 Codezeilen enthält. Der Bösewicht besteht aus mehreren Komponenten, die vom Server der Cyber-Kriminellen heruntergeladen werden. Nach erfolgreicher Installation lädt er den Schädling Linux.BackDoor.Gates.9 herunter, welcher für DDoS-Angriffe eingesetzt wird.

Nachdem sich Linux.BtcMine.174 im System eingenistet hat, sucht er nach Prozessen anderer Mining-Trojaner und bricht diese ab. Wenn Linux.BtcMine.174 nicht durch den Administrator gestartet wurde, nutzt er Exploits, um seine Privilegien hochzufahren. Außerdem lädt der Schädling einen Rootkit herunter und startet diesen, um Daten zur Netzwerkstruktur zu sammeln und Netzwerkkomponenten zu infizieren. Mehr zu diesem Trojaner finden Sie in unserem Beitrag.

Andere Ereignisse

Gemäß Statistik war Trojan.SpyBot.699 der am meisten verbreitete Schädling auf Rechnern und im E-Mail-Traffic. Der Bösewicht wird durch die Hackergruppe «RTM» verbreitet und stellt einen Banking-Trojaner dar.

Die schädlichen Funktionen von Trojan.SpyBot.699 sind in der dynamischen Bibliothek core.dll enthalten. Der Trojaner trägt sich im Autostart von Windows ein und verschlüsselt alle an den Server übertragenen Daten.

Nach Befehl von Cyber-Kriminellen ist Trojan.SpyBot.699 in der Lage, ausführbare Dateien herunterzuladen, zu speichern, sich auszuführen, sich zu aktualisieren, digitale Zertifikate zu installieren und Befehle von außen auszuführen.

Der Bösewicht ist in der Lage, nach Online-Banking-Clients in geöffneten Fenstern, in Dateien und Browser-Cookies zu suchen. Nachdem sich Trojan.SpyBot.699 im System eingenistet hat, kann er sich in Online-Banking-Clients einbetten und Geld vom Bankkonto eines Opfers stehlen. Dr.Web macht Trojan.SpyBot.699 sowie alle seine schädlichen Module ausfindig und neutralisiert diese.

Malware für mobile Geräte

Im November 2018 haben die Analysten von Doctor Web Android.Banker.2876 entdeckt, der sich über Google Play verbreitete. Cyber-Kriminelle setzten ihn zum Klauen von vertraulichen Daten von Kunden einiger europäischer Banken ein. Außerdem wurden auf Google Play weitere Bedrohungen entdeckt, u.a. Android.DownLoader.832.origin. Der Schädling lud andere Apps herunter und installierte diese auf dem Gerät. Auch mit Hilfe von Android.FakeApp wollten Cyber-Kriminelle an Nutzern verdienen. Das Analystenteam entdeckte darüber hinaus auch mehrere Apps mit Werbe-Modulen: Adware.HiddenAds.

Hauptereignisse in der mobilen Sicherheitsszene:

• Verbreitung von böswilligen und unerwünschten Apps auf Google Play.

Frankfurt, 20. November 2018

Das verdeckte Schürfen von Kryptowährungen gehört heutzutage zum am meist verbreiteten kriminellen Geschäft. Das Team von Doctor Web entdeckte vor kurzem einen Mining-Trojaner, der Rechner unter Linux infizieren kann. Der Schädling kann auch andere Netzwerkgeräte infizieren und die auf dem PC installierte Virenschutzsoftware löschen.

Der Trojaner, welcher als Linux.BtcMine.174 in die Dr.Web Virendefinitionsdatei eingetragen wurde, stellt das in der sh-Sprache geschriebene Skript dar und enthält über 1.000 Zeilen Code. Der Schädling besteht aus mehreren Komponenten. Beim Starten prüft der Trojaner die Verfügbarkeit des Servers, von dem weitere böswillige Module heruntergeladen werden. Anschließend sucht er nach einem Verzeichnis mit Schreibprivilegien, in dem diese Module platziert werden. Danach wird das Skript ins vordefinierte Verzeichnis verschoben und startet als Daemon. Dafür nutzt der Trojaner das Tool nohup. Wenn das Tool im System nicht verfügbar ist, lädt er das Toolpaket coreutils mit dem bereits erwähnten nohup-Tool herunter.

Bei einer erfolgreichen Installation lädt der Trojaner eine Version von Linux.BackDoor.Gates.9 herunter. Die Backdoors dieser Familie ermöglichen die Übermittlung von Befehlen der Cyber-Kriminellen und die Durchführung von DDoS-Angriffen.

Nach seiner Installation sucht Linux.BtcMine.174 nach Konkurrenz, die auch Kryptowährungen schürfen kann, und bricht Prozesse dieser böswilligen Programme ab. Wenn Linux.BtcMine.174 nicht durch den Benutzer (mit root-Rechten) gestartet wurde, nutzt der Schädling eine Reihe von Exploits aus. Die Virenanalysten von Doctor Web entdeckten mindestens zwei Exploits, die Linux.BtcMine.174 ausnutzt: Linux.Exploit.CVE-2016-5195 (auch bekannt als DirtyCow) und Linux.Exploit.CVE-2013-2094. Die aus dem Internet heruntergeladenen DirtyCow-Dateien werden auf dem infizierten Gerät kompiliert.

Anschließend versucht der Schädling Services von Virenschutzsoftware mit den Namen safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets und xmirrord zu finden. Sobald der Trojaner einen dieser Services entdeckt, bricht er nicht nur seinen Prozess ab, sondern löscht auch die Dateien und das Verzeichnis, in dem die Virenschutz-App installiert war.

Anschließend trägt sich Linux.BtcMine.174 im Autostart ein, lädt ein Rootkit herunter und startet dieses auf dem infizierten PC. Dieses Modul ist auch als sh-Skript verfügbar und basiert auf dem früher frei verfügbaren Quellcode. Zu den Funktionen des Rootkit-Moduls gehört der Diebstahl von Benutzerdaten durch den su-Befehl, das Verdecken von Dateien im Dateisystem, Netzwerkverbindungen und Prozessen. Der Trojaner sammelt Daten über Netzwerke, mit denen früher via ssh verbunden wurde, und versucht, diese zu infizieren.

Nach all diesen Schritten startet Linux.BtcMine.174 einen Mining-Trojaner, der die Kryptowährung Monero (XMR) schürfen soll. Anschließend prüft der Trojaner, ob dieser Mining-Trojaner läuft, und startet ihn bei Bedarf neu. Er baut auch eine Verbindung zum Server der Cyber-Kriminellen auf und lädt verfügbare Updates herunter.

Linux.BtcMine.174 und seine Komponenten werden durch Dr.Web für Linux erfolgreich entdeckt und neutralisiert. Der Schädling stellt deshalb keine Gefahr für Dr.Web Nutzer dar.

Eine vollständige Liste mit den Indikatoren einer Infizierung finden Sie hier https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174.

Mehr zum Trojaner