Anfang September berichtete Android.Pandora.2 — ein Backdoor-Programm, das infizierte Geräte in ein Botnet einschließt und auf Befehl von Cyberkriminellen DDoS-Angriffe durchführt. Außerdem berichteten wir über bösartige Anwendungen der Familie Android.Spy.Lydia.Diese mehrfunktionalen Spyware-Trojaner zielen auf Nutzer aus dem Iran ab. Sie werden als Online-Handelsplattform getarnt und können auf Befehl des Angreifers verschiedene bösartige Aktivitäten ausführen: SMS-Nachrichten abfangen und senden, Informationen über Kontakte aus dem Telefonbuch und Inhalte des Pufferspeichers sammeln, Phishing-Websites laden etc. Die Trojaner Android.Spy.Lydia werden in verschiedenen Betrugsschemas, unter anderem zum Diebstahl personenbezogener Informationen und Gelddiebstahl, verwendet.

Laut Statistiken von Dr.Web für Android ging die Aktivität bösartiger Anwendungen im September 2023 zurück. Adware-Trojaner der Familie Android.HiddenAds wurden um 11,73% und Android.MobiDash um 26,30% seltener erkannt. Die Anzahl der Angriffe durch Spyware-Trojaner sank um 25,11%, Android.Locker um 10,52% und Banking-Trojaner um 4,51%. Im Vergleich zum Vormonat wurden Android-Nutzer um 14,32% häufiger mit unerwünschter Adware konfrontiert.

Im September wurden viele neue Bedrohungen auf Google Play erkannt, darunter Trojaner der Familie Android.FakeApp, die in verschiedenen Betrugsschemas verwendet werden, bösartige Anwendungen der Familie Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, und Adware-Trojaner der Familie Android.HiddenAds.

Haupttrends im September

Rückgang der Verbreitung bösartiger Anwendungen
Neue bösartige Apps auf Google Play

Bedrohung des Monats für Mobilgeräte

Im September 2023 veröffentlichte Doctor Web die Ergebnisse der Analyse des bösartigen Programms Android.Pandora.2, das meist auf spanischsprachige Nutzer abzielt. Die ersten Angriffe mithilfe dieses Programms wurden im März 2023 erkannt.

Dieser Trojaner infiziert Smart-TVs und Set-Top-Boxen unter Android TV. Er gelangt auf Geräte über kompromittierte Firmware-Versionen oder bei der Installation von Apps für die illegale Anzeige von Videos.

Die Hauptfunktion von Android.Pandora.2 ist die Durchführung von DDoS-Angriffen. Das Programm kann auch einige weitere bösartige Aktivitäten ausführen, z.B. seine Updates installieren und die hosts-Datei ändern.

Die Untersuchung hat gezeigt, dass die Anwendung auf dem Code des Trojaners Linux.Mirai basiert, der seit 2016 zur Infektion von IoT-Geräten sowie zur Durchführung von DDos-Attacken verwendet wird.

Statistiken von Dr.Web für Android

Android.HiddenAds.3697: Trojaner, die aufdringliche Werbung anzeigen. Sie werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangt sind, tarnen sie ihre Präsenz im infizierten System, z.B. verschwindet ihr Symbol vom Startbildschirm des Geräts.
Android.Spy.5106: Trojaner, die nicht offizielle Modifikationen von WhatsApp darstellen. Diese Programme können Benachrichtigungen anderer Apps stehlen, den Nutzer dazu bewegen, Apps aus unseriösen Quellen zu installieren, und Dialoge, deren Inhalt remote konfiguriert werden kann, bei der Nutzung des Messengers anzeigen.
Android.Packed.57083: Bösartige Anwendungen, die mit dem Packer ApkProtector geschützt sind (Banking-Trojaner, Spyware und andere Schadprogramme).
Android.Pandora.17: Erkennung bösartiger Anwendungen, die das Backdoor-Programm Android.Pandora.2 installieren. Solche Downloader werden oft in Apps für Smart-TVs integriert, die auf spanischsprachige Nutzer abzielen.
Android.MobiDash.7804: Trojaner, der aufdringliche Werbung anzeigt. Stellt ein in Apps integriertes Softwaremodul dar.

Program.FakeAntiVirus.1: Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
Program.FakeMoney.7: Anwendungen, die eine Belohnung des Nutzers simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld an sein Bankkonto überweisen zu können. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld.
Program.CloudInject.1: Erkennung von Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.
Program.SecretVideoRecorder.1.origin: App, die im Hintergrundmodus Fotos und Videos über die integrierte Kamera des Android-Geräts ausführen kann. Sie kann unbemerkt arbeiten, Benachrichtigungen über den Aufnahmestart deaktivieren sowie ihr Symbol und ihre Beschreibung durch gefälschte ersetzen. Die App wird als potenziell gefährlich eingestuft.
Program.wSpy.3.origin: Spyware, die es ermöglicht, Android-Nutzer heimlich zu überwachen. Sie kann SMS-Nachrichten und Nachrichten in sozialen Netzwerken lesen, die Umgebung abhören, das Gerät orten, den Browserverlauf überwachen, auf das Telefonbuch, Kontakte, Fotos und Videos des Nutzers zugreifen, Screenshots erstellen und Fotos machen. Außerdem verfügt die App über die Keylogger-Funktion.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Potenziell gefährliche Softwareplattformen, die es Anwendungen ermöglichen, APK-Dateien ohne Installation auszuführen. Sie schaffen eine virtuelle Umgebung, in der sie außerhalb des Hauptbetriebssystems ausgeführt werden.
Tool.LuckyPatcher.1.origin: Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts könnten bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.
Tool.Packer.3.origin: Erkennung von Android-Apps, deren Code mithilfe des Tools NP Manager verschlüsselt und verschleiert wurder.
Tool.ApkProtector.16.origin: Erkennung von Anwendungen, die mit dem Software-Packer ApkProtector geschützt sind. Dieser Packer ist zwar nicht bösartig, wird aber bei der Entwicklung von Trojanern und unerwünschten Apps verwendet, um deren Erkennung zu erschweren.

Adware.ShareInstall.1.origin: Adware-Modul, das in Android-Apps integriert wird. Das Modul zeigt Werbebenachrichtigungen auf dem Sperrbildschirm von Android an.
Adware.MagicPush.1: Adware-Modul, das in Android-Apps integriert wird. Es zeigt Werbebanner über die Oberfläche des Betriebssystems an, auch wenn die infizierte App nicht genutzt wird. Diese Werbebanner sollen Nutzer in die Irre führen. Oft melden sie angeblich verdächtige Dateien und Spammails oder zeigen Benachrichtigungen über die Notwendigkeit, den Akkuverbrauch zu optimieren, an. Der Nutzer wird aufgefordert, eine bestimmte App zu öffnen, in der ein Adware-Modul integriert ist. Bei der Öffnung der App wird ihm Werbung angezeigt.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.
Adware.Airpush.7.origin: Vertreter einer Familie von Adware-Modulen, die in Android-Apps integriert werden und unerwünschte Werbung anzeigen. Je nach Version und Modifikation zeigen solche Module Werbebenachrichtigungen, -banner oder -Pop-ups an. Mithilfe solcher Module werden oft bösartige Apps verbreitet: Der Nutzer wird dazu bewogen, eine bestimmte App zu installieren. Darüber hinaus können diese Module persönliche Informationen an einen Remote-Server weiterleiten.

Bedrohungen auf Google Play

Im September 2023 entdeckten die Virenanalysten von Doctor Web viele neue bösartige Apps auf Google Play, darunter Trojaner, die aufdringliche Werbung anzeigen. Sie wurden als die Handyspiele „Agent Shooter“ (Android.HiddenAds.3781), „Rainbow Stretch“ (Android.HiddenAds.3785), „Rubber Punch 3D“ (Android.HiddenAds.3786) und „Super Skibydi Killer“ (Android.HiddenAds.3787) verbreitet. Nach der Installation tarnen diese Trojaner ihre Präsenz im infizierten System. Sie machen ihre Symbole auf dem Hauptbildschild transparent und ersetzen ihre Namen durch eine leere Zeichenfolge. In einigen Fällen ersetzen sie ihre Symbole durch das Symbol von Google Chrome. Beim Klick auf das Symbol wird der Webbrowser gestartet und der Trojaner arbeitet im Hintergrund. Dadurch kann der Trojaner für den Nutzer unbemerkt funktionieren und die Erkennungswahrscheinlichkeit wird reduziert.

Unsere Spezialisten erkannten neue Apps der Familie Android.FakeApp. Einige davon (z.B. Android.FakeApp.1429, Android.FakeApp.1430, Android.FakeApp.1432, Android.FakeApp.1434, Android.FakeApp.1435 etc.) wurden als Finanz-Apps verbreitet: Investment- und Börsen-Apps, Apps zum Sparen etc. Sie öffneten gefälschte Investment-Websites, auf denen potenzielle Opfer aufgefordert wurden, „Investor“ zu werden.

Andere Apps (z.B. Android.FakeApp.1433, Android.FakeApp.1436, Android.FakeApp.1437, Android.FakeApp.1438, Android.FakeApp.1439 und Android.FakeApp.1440) wurden als Android-Spiele getarnt. Einige davon verfügen zwar über die Spielfunktionalität, ihre Hauptfunktion ist aber, Websites von Online-Casinos zu laden.

Screenshot einiger dieser Apps im harmlosen Modus:

Screenshots einiger von diesen Anwendungen aufgerufener Websites:

Außerdem wurden neue Trojaner der Familie Android.Joker auf Google Play erkannt. Sie abonnieren kostenpflichtige Services im Namen der Nutzer von Android-Geräten. Einer der Trojaner wurde über das Bildbearbeitungsprogramm „App Beauty Wallpaper HD“ verbreitet. Er wurde unter dem Namen Android.Joker.2216 in die Dr.Web Virendatenbank eingetragen. Ein weiterer Trojaner wurde als Messenger „Love Emoji Messenger“ getarnt und unter dem Namen Android.Joker.2217 in die Dr.Web Virendatenbank eingetragen.

Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.

Indikatoren der Kompromittierung

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

Eine der ersten Malwareschutz-Apps für Android weltweit
Über 140 Mio Downloads – nur auf Google Play
Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

KOSTENLOS HERUNTERLADEN