Frankfurt, 10. November 2016

Die Virenanalysten von Doctor Web haben auf Google Play einen neuen Trojaner entdeckt. Dieser Schädling, der von Doctor Web als Android.MulDrop.924 klassifiziert wurde, lädt Apps herunter und installiert diese ohne Benutzererlaubnis. Außerdem zeigt er aufdringliche Werbung an.

Android.MulDrop.924 verbreitet sich über Google Play als Applikation unter dem Namen „Multiple Accounts: 2 Accounts“ und wurde bereits von über 1.000.000 Besitzern von Android-Smartphones und -Tablets heruntergeladen. Die App ermöglicht die Nutzung von mehreren Benutzerkonten für Spiele und andere Applikationen. Die scheinbar harmlose App verbirgt jedoch eine Trojaner-Funktion.

Doctor Web hat Google über Android.MulDrop.924 informiert. Der Schädling war aber zum Zeitpunkt der Veröffentlichung immer noch verfügbar.

Der Trojaner verfügt über eine ungewöhnliche Modul-Architektur. Zwei Hilfsmodule sind verschlüsselt und in PNG-Bildern versteckt. Beim Starten extrahiert und kopiert der Trojaner seine Module in sein lokales Verzeichnis /data und lädt dieses anschließend in den Hauptspeicher.

Eine dieser Komponenten enthält einige Werbe-Plug-ins, welche die Entwickler von Android.MulDrop.924 als Geldmaschine nutzen wollen. Darunter auch das Modul Android.DownLoader.451.origin, das ohne Benutzererlaubnis Spiele und Apps herunterlädt und diese installiert. Darüber hinaus zeigt es aufdringliche Werbung im Systemtray an.

Außer auf Google Play verbreitet sich Android.MulDrop.924 über Software-Webseiten. Eine der Trojaner-Versionen ist in die Applikation „Multiple Accounts: 2 Accounts“ eingebettet. Sie ist mit einem fremden Zertifikat signiert und enthält das Trojaner-Plug-in Android.Triada.99, das Exploits herunterlädt um an Root-Rechte zu gelangen.

Alle bekannten Versionen von Android.MulDrop.924 sowie seine böswilligen Komponenten werden durch Dr.Web für Android erfolgreich entdeckt. Der Schädling stellt deshalb keine Gefahr für Dr.Web Anwender dar.

Schützen auch Sie Ihr Android-Gerät durch Dr.Web!