Doctor Web: Rückblick und Analyse von Bedrohungen für mobile Geräte im Juli 2018

Frankfurt, 31. Juli 2018

Im Juli 2018 haben Cyber-Kriminelle Android.Backdoor.554.origin verbreitet, welche den Virenanalysten von Doctor Web seit April 2017 bekannt ist. Die Backdoor spionierte Nutzer aus und konnte ihre infizierten Geräte per Fernzugriff verwalten. Android.Backdoor.554.origin versteckte sich in einem Windows-Wurm, den diese auf eine SD-Karte eines mobilen Gerätes kopierte, um später Rechner unter Windows zu infizieren. Im vergangenen Monat haben Cyber-Kriminelle weiterhin Android-Smartphones und -Tablets mit Hilfe von Banking-Trojanern angegriffen. Android.Banker.2746 z.B. konnte sogar von Google Play heruntergeladen werden. Andere Trojaner wurden durch den auch auf Google Play verfügbaren Schädling Android.DownLoader.753.origin heruntergeladen. Zu den weiteren Schädlingen, die durch Cyber-Kriminelle verbreitet wurden, zählt auch Android.BankBot.279.origin, der als nützliche App gepriesen wurde. Des weiteren wurden zwei neue Spion-Programme entdeckt, die folgende Namen bekamen: Program.Shadspy.1.origin und Program.AppSpy.1.origin.

Mobile Bedrohung des Monats

Im Juli 2018 wurde ein erneuter Angriff gegen Android-Nutzer durch Android.Backdoor.554.origin registriert. Der Trojaner verbreitete sich unter dem Deckmantel von neuen WhatsApp- und Telegram-Versionen sowie wichtigen System-Updates.

Android.Backdoor.554.origin führte Befehle von Cyber-Kriminellen aus und erlaubte es ihnen, die infizierten Geräte zu kontrollieren. Der Trojaner ermittelte außerdem den Standort von Android-Geräten, fing Chats in beliebten Nachrichtendiensten ab, bekam Zugang zu Anrufen und Kurznachrichten sowie zu Kontakten aus dem Adressbuch. Darüber hinaus versteckte der Schädling einen Windows-Wurm, der Win32.HLLW.Siggen.10482 heißt. Nach der Infizierung eines mobilen Geräts kopierte Android.Backdoor.554.origin einen Wurm in Bildverzeichnisse auf der SD-Karte. Die ausführbare Datei von Win32.HLLW.Siggen.10482 mit der Erweiterung .pif, bekam den Namen eines Verzeichnisses, wo sie platziert wurde. Beim nächsten Kopieren und Öffnen dieser Verzeichnisse lief der Nutzer Gefahr, den Wurm auszuführen.

Liste von Verzeichnissen, wo der Trojaner Android.Backdoor.554.origin den Schädling Win32.HLLW.Siggen.10482 platzierte:

Beispiele von erfolgreichen Kopiervorgängen mit Bildern auf der SD-Karte eines infizierten Android-Gerätes:

Statistik von Dr.Web für Android

Android.Altamob.1.origin

Werbe-Plattform, die böswillige Module unsichtbar herunterlädt und startet.

Android.HiddenAds.288.origin

Android.HiddenAds.524

Trojaner, die lästige Werbung anzeigen, sich als beliebte Apps verbreiten und ins Systemverzeichnis installieren.

Android.Mobifun.4

Trojaner, der andere böswillige Apps herunterlädt.

Android.Xiny.197

Trojaner, der böswillige Apps herunterlädt und installiert.

Adware.SalmonAds.3.origin

Adware.Altamob.1.origin

Adware.Appalytic.1.origin

Adware.Adtiming.1.origin

Adware.Jiubang.2

Unerwünschte Module, die in Android-Apps eingebettet werden.

Banking-Trojaner

Im vergangenen Monat wurde auf Google Play ein weiterer Trojaner entdeckt, der nach der Klassifikation von Doctor Web den Namen Android.DownLoader.753.origin trägt. Der Schädling wurde als Finanz-App verbreitet. Einige Versionen des Schädlings konnten in der Tat Funktionen erfüllen, die restlichen waren nutzlos und boten Nutzern an, eine andere Online-Banking-App auf Google Play herunterzuladen und zu installieren.

Android.DownLoader.753.origin konnte vom Remote-Server einen Trojaner der Familie Android.BankBot herunterladen und versuchte, diesen zu installieren, indem er einen Standarddialog der Installation anzeigte.

Die Virenanalysten von Doctor Web nahmen einen weiteren Android-Trojaner unter die Lupe. Der Schädling heißt Android.Banker.2746 und wurde durch Virenschreiber auf Google Play verbreitet, indem er als vermeintliche Online-Banking-App ausgegeben wurde.

Mit Hilfe des Schädlings versuchten Cyber-Kriminelle, den Zugang zu Kundenkonten bei türkischen Banken zu ergaunern. Android.Banker.2746 zeigte ein verfälschtes Login-Formular an und fing Kurznachrichten mit Prüfcodes ab.

Zu Banking-Trojanern, die Nutzer im vergangenen Monat attackierten, gehört auch Android.BankBot.279.origin. Übeltäter verbreiteten diesen über betrügerische Websites. Der Trojaner wurde dabei als harmlose oder nützliche App wie Adobe Flash Player, Messaging-Clients, VPN-Clients usw. heruntergeladen. Android.BankBot.279.origin überwachte die auf dem Handy oder Tablet installierten Online-Banking-Apps und zeigte ein verfälschtes Formular, über das Cyber-Kriminelle Nutzerdaten herausfischen wollten. Außerdem konnte der Banking-Trojaner den PIN-Code anpassen oder das infizierte Gerät sperren.

Websites, von denen Android.BankBot.279.origin heruntergeladen wurde:

Spyware

Im vergangenen Monat konnten die Malwareanalysten von Doctor Web kommerziell eingesetzte Spyware ausfindig machen. Die erste App wurde als Program.AppSpy.1.origin getauft. Der Schädling überwacht den Standort eines mobilen Geräts, hört Telefonate und fängt Kurznachrichten ab. Der zweite Schädling bekam den Namen Program.Shadspy.1.origin. Diese böswillige App verfügt über eine erweiterte Funktionalität: Abfangen von Telefongesprächen und Kurznachrichten, Standortermittlung für Geräte, unerlaubte Audioaufnahme, Kopieren der Chronik aus dem Webbrowser sowie von Daten über geplante Ereignisse aus dem Kalender, unerlaubte Videoaufnahmen usw. Bei root-Privilegien kann Program.Shadspy.1.origin auch Chats in Facebook und WhatsApp klauen.

Banking-Trojaner stellen für Besitzer von mobilen Geräten eine ernsthafte Gefahr dar. Cyber-Kriminelle verbreiten Malware nicht nur über betrügerische Websites, sondern auch über Google Play. Um sich zuverlässig gegen Android-Trojaner zu schützen, installieren Sie Dr.Web für Android!