Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Telefon

+7 (495) 789-45-86

Forum

Ihre Anfragen

  • Alle:
  • Offen:
  • Letzte Anfrage: -

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Doctor Web: Iranische Internetnutzer werden von Android-Trojaner via Telegram ausspioniert

Frankfurt, 19. Juni 2017

Die Sicherheitsspezialisten von Doctor Web haben einen Android-Trojaner entdeckt, den Cyber-Kriminelle via Telegram steuern. Der Schädling klaut vertrauliche Daten der Nutzer und führt Befehle der Cyber-Kriminellen aus.

Der Trojaner, der als Android.Spy.377.origin erfasst wurde, stellt ein Remote Administration Tool dar. Es verbreitet sich als harmlose App, attackiert aber iranische Nutzer. Der Schädling kann unter dem Namen «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») und «Cleaner Pro» installiert werden.

screenshot Android.Spy.377.origin #drweb

Beim Start wird dem Nutzer vorgeschlagen, die Beliebtheit seines Profils bei Telegram-Nutzern zu prüfen. Der Trojaner fordert dabei seine ID an und zeigt vermeintliche „Profilbesucher“ an, nachdem das Opfer seine ID eingegeben hat. Diese Funktion soll beim Nutzer den Eindruck erwecken, dass die App keine Gefahr für ihn darstellt. Nach kurzer Zeit löscht Android.Spy.377.origin seine Menüverbindung aus der Liste von installierten Apps und versucht, seine Präsenz im System zu verschleiern.

screenshot Android.Spy.377.origin #drweb

Android.Spy.377.origin ist eine klassische Spyware, die Befehle von Cyber-Kriminellen ausführen kann. Der Hauptunterschied des Schädlings im Vergleich zu anderen Android-Trojanern ist die Verwaltung via Telegram. Das ist der erste Schädling für Android, der ausgerechnet via Telegram gesteuert wird.

Nach dem Löschen der Desktop-Verbindung kopiert Android.Spy.377.origin Kontakte aus dem Telefonbuch, ein- und ausgehende Kurznachrichten sowie Google-Konto-Informationen. Anschließend speichert er diese Daten in einer Textdatei in seinem Arbeitsverzeichnis. Außerdem macht der Trojaner ein Gesichtsfoto des Nutzers mit der Frontalkamera. Danach lädt der Spion das Foto mit geklauten Daten auf einen Remote-Server hoch und sendet an den Telegram-Bot der Cyber-Kriminellen ein Signal über eine erfolgreiche Infizierung des Geräts.

Nachfolgend sehen Sie Beispiele von Dateien, die Android.Spy.377.origin an Cyber-Kriminelle übermittelt.

screenshot Android.Spy.377.origin #drweb

Nachdem vertrauliche Daten geklaut wurden, baut Android.Spy.377.origin eine Verbindung zum Bot auf und wartet auf seine Befehle. Der Trojaner ist in der Lage, folgende Anweisungen zu erhalten:

  • call – Anruf tätigen;
  • sendmsg – SMS senden;
  • getapps – Daten zu installieren Apps an einen Server übermitteln;
  • getfiles – Informationen über alle vorhanden Dateien versenden;
  • getloc – Standort des Geräts an einen Server versenden;
  • upload – Vordefinierte Datei auf den Server hochladen;
  • removeA – Vordefinierte Datei löschen;
  • removeB – Gruppe von Dateien löschen;
  • lstmsg – Datei mit allen ein- und ausgehenden Kurznachrichten an einen Server senden.

Der Telegram-Bot informiert auch Virenschreiber, sobald ein Befehl ausgeführt wurde.

Android.Spy.377.origin sammelt für Cyber-Kriminelle sensible Daten, verfolgt alle ein- und ausgehenden Kurznachrichten und ortet den Standort des Geräts. Wenn SMS empfangen oder versendet werden oder der Standort des Geräts sich ändert, benachrichtigt der Schädling den Telegram-Bot der Cyber-Kriminellen.

Die Virenanalysten von Doctor Web möchten Nutzer darauf aufmerksam machen, dass Virenschreiber den Trojaner als harmlose App verbreiten. Um sich gegen Android-Trojaner zu schützen, müssen Sie Apps nur von bekannten Entwicklern und aus verlässlichen Quellen wie Google Play herunterladen. Alle bekannten Versionen von Android.Spy.377.origin werden von Dr.Web Produkten für Android erfolgreich erkannt, deshalb stellt der Spion für unsere Anwender keine Gefahr dar.

Mehr zum Trojaner

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2017

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt