Trojaner in einer Eye-Care-App

Baden-Baden, 1. Dezember 2020

Die Virenanalysten von Doctor Web haben einen Trojaner in einer Eye-Care-App entdeckt, die die Sehkraft der Nutzer unterstützen und verbessern soll. Neben ihren dokumentierten Funktionen führt die App böswillige Aktionen aus – sie klickt auf Links und zeigt Websites über anderen Apps an.

Die App namens „Eye Care - Your close Eye Care Assistant“ ist seit 2018 auf Google Play verfügbar. Die Trojaner-Funktionalität der App gibt es erst seit 2019, ab Version 1.2.11. Bösartige Versionen der App wurden in die Dr.Web Virendatenbank als Android.Mixi.44.origin hinzugefügt.

Die App sieht harmlos aus und funktioniert gemäß Erwartungen des Benutzers. Sobald sie jedoch einmal gestartet ist, beginnt sie jedoch, unbemerkt böswillige Aktionen auszuführen.

Android.Mixi.44.origin sammelt folgende Informationen über das infizierte Gerät und überträgt sie an einen Remote-Server:

eindeutige Benutzerkennung, die vom Trojaner generiert wird
eindeutige Kennung des Geräts
Google-Anzeigen-ID
Betriebssystemversion
Version der App, in die der Trojaner eingebettet ist
installierte Version der Play Market-App
Version der WebView-Engine

Eine der App-Funktionen besteht darin, kürzlich ausgeführte App-Installationen in betrügerischer Weise zu monetarisieren. Zu diesem Zweck überwacht Android.Mixi.44.origin laufend Installation und Entfernung von Apps und speichert Informationen über jede solcher Aktionen.

Von einem C&C-Server erhält der Trojaner einen Link zur Website, von der die Liste der aufzurufenden Webadressen übertragen wird. Unauffällig lädt er jede einzelne Ressource herunter. Wenn Umleitungen zu einer App-Seite führen, die auf Google Play gehostet wird, aber noch nicht auf dem Gerät installiert ist, merkt sich der Trojaner den Paketnamen dieser App und die Uhrzeit. Anschließend wartet er, bis der Benutzer das gewünschte Programm installiert. Wenn Android.Mixi.44.origin die Installation einer solchen App erkennt, überträgt er den Namen des Pakets sowie eine Empfehlungskennung (Mitglieds-ID des Partnerprogramms) an einen Werbeanalysedienst, der erfolgreich abgeschlossene Werbetransaktionen verfolgt. Auf diese Weise versucht der Trojaner, den Dienst zu täuschen und die Installation der App den Cyber-Kriminellen zuzuschreiben.

Wenn der Link zur bereits installierten App auf Google Play führt und dies dem Trojaner bekannt ist, versucht Android.Mixi.44.origin den Analysedienst zu täuschen, indem er den Namen des Pakets zusammen mit der Verweis-ID der Angreifer übermittelt.

Zur weiteren Funktion von Android.Mixi.44.origin gehört der Klicker-Modus, wenn die vom Trojaner empfangenen Links zu allen möglichen Webseiten führen. Er ruft diese unbemerkt auf, erhöht deren Popularität und trägt dazu bei, dass die Angreifer über Affiliate-Dienste bezahlt werden.

Darüber hinaus ist der Trojaner in der Lage, verschiedene Webseiten zu laden und sie über die Fenster anderer Apps sowie über die Schnittstelle des Betriebssystems selbst anzuzeigen. Dazu nutzt er die seit mehreren Jahren bekannte Schwachstelle Toast Overlay aus. Android-Geräte bis Version 7.1 sind für diese Schwachstelle anfällig. Der Trojaner erzeugt eine Popup-Benachrichtigung, die wie ein Toast aussieht und alle anderen grafischen Elemente überlagert. In dieser Benachrichtigung wird WebView mit der geladenen Zielwebseite platziert. In diesem Fall kann der Inhalt einer solchen Seite beliebig sein: ein Werbebanner, ein Video oder sogar eine Phishing-Seite.

Zu den Hauptfunktionen von Android.Mixi.44.origin gehören Werbung, die Fälschung der Popularitätszähler von Websites sowie deren mögliche Verwendung bei Phishing-Angriffen. Der Trojaner gehört jedoch zu einer Familie von multifunktionalen böswilligen Apps, die eine Vielzahl von Aufgaben übernehmen können. Einzelne Vertreter dieser Familie sind z.B. in der Lage, Root-Berechtigungen zu erhalten, unbemerkt andere Programme zu installieren und zu entfernen sowie andere gefährliche Aktionen durchzuführen. Einige wurden auch in den Systemverzeichnissen von Android-Geräten entdeckt. Android.Mixi.36.origin ist einer davon. Er verwendet das potenziell gefährliche Dienstprogramm Tool.SilentInstaller.7.origin, um heimlich herunterladbare Apps zu starten. Unter den Programmen, die er herunterlädt, kann sich auch Android.Mixi.42.origin , eine der Modifikationen des als Android.Mixi.44.origin erkannten Trojaners, befinden. Sie verfügt über alle seine Funktionen und kann zudem Apps unbemerkt herunterladen und ausführen.

Dr.Web Apps für Android erkennen alle bekannten Modifikationen von Android.Mixi.44.origin sowie andere Trojaner dieser Familie. Diese sind also für unsere Benutzer nicht gefährlich. Um bösartige Android-Apps aus Systemverzeichnissen zu entfernen, benötigen Sie Dr.Web Security Space für Android sowie einen Root-Zugriff. Sie können auch mit Hilfe von Dr.Web Security Space für Android prüfen, ob Ihr Gerät der Schwachstelle Toast Overlay ausgesetzt ist.

Mehr zu Android.Mixi.44.origin

Mehr zur Sicherheitslücke Toast Overlay

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

Eine der ersten Malwareschutz-Apps für Android weltweit
Über 140 Mio Downloads – nur auf Google Play
Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

KOSTENLOS HERUNTERLADEN

Bewerten

Um zu bewerten, loggen Sie sich bitte mit Ihrem Konto ein oder erstellen Sie ein Konto, wenn Sie noch keines besitzen.

Teilen/Liken

Was sind die Vorteile eines Kontos?

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.