Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Trojaner nutzt Sicherheitslücke Master Key aus und verbreitet sich über das Anwendungsverzeichnis für Android

Hanau, 31. Juli 2013

Der IT-Sicherheitsspezialist Doctor Web entdeckte den ersten Android-Schädling, der sich über die Sicherheitslücke Master Key. Android.Nimefas.1.origin verbreitet und Benutzerdaten den Übeltätern via SMS übermitteln kann. Darüber hinaus kann er auch einige Befehle auf einem infizierten mobilen Endgerät ausführen. Zur Zeit verbreitet sich der Trojaner über Spiele und Anwendungen, die für in einem chinesischen Online-Verzeichnis für Android zum Herunterladen bereitstehen. Es ist nicht ausgeschlossen, dass die Zahl von Trojanern, die die Sicherheitslücke Master Key ausnutzen, sich vergrößert.

Nachdem die Sicherheitslücke Master Key bekannt wurde, waren einige Sicherheitsexperten der Meinung, dass sie in Kürze von Malware ausgenutzt wird. Es dauerte weniger als einen Monat.

Der entdeckte Trojaner, der in der Virendatenbank als Android.Nimefas.1.origin bezeichnet wird, verbreitet sich als dex-Datei. Die Sicherheitslücke Master Key gibt der Malware die Chance, sich ins Betriebssystem Android einzuschleusen, wenn es in einem apk–Paket zwei gleichnamige Dateien sind. Dabei prüft das Betriebssystem die Signatur nur der ersten Datei, aber installiert die zweite Datei, die auf Viren & Co. nicht geprüft wurde. Auf diese Weise wird der Schutzmechanismus umgangen.

Hier nur ein Beispiel für das von Android.Nimefas.1.origin infizierte Programm:

screen

Nachdem sich der Trojaner ausgeführt hat, prüft er, ob es auf dem infizierten mobile Endgerät chinesische Antivirensoftware gibt.

Wenn diese Software entdeckte wurde, findet Android.Nimefas.1.origin den root-Zugang via "/system/xbin/su" oder "/system/bin/su". Wenn diese Dateien vorhanden sind, hört der Trojaner auf. Sollten sie nicht vorhanden sein, funktioniert der Trojaner weiter.

Android.Nimefas.1.origin verschickt IMSI an eine Telefonnummer aus einer Liste.

Danach sendet er SMS an alle Kontakte, die im infizierten mobilen Endgerät gefunden wurden. Der Text für diese SMS wird von einem Remote-Service heruntergeladen. An diesen Server werden auch Daten zu kontaktierten Personen verschickt.

Der Trojaner kann auch eingehende E-Mails maskieren. Der entsprechende Filter wird von einem Verwaltungsserver heruntergeladen.

Jetzt ist der Remote-Server, der früher für die Verwaltung des Trojaners von Übeltätern verwendet wurde, nicht mehr funktionsfähig.

screen

Android.Nimefas.1.origin stellt zur Zeit für chinesische Benutzer die größte Gefahr dar, weil er sich über Spiele und Anwendungen verbreitet, die auf einem beliebten chinesischen Softwareportal zum Herunterladen bereitstehen. Es ist nicht ausgeschlossen, dass weitere Schädlinge auftauchen, die die Android-Sicherheitslücke Master Key ausnutzen werden. Inzwischen können viele Benutzer wegen dieser Schadsoftware zu Schaden kommen.

Die Benutzer von Dr.Web für Android sind gegen Android.Nimefas.1.origin zuverlässig geschützt. Der Trojaner wird durch Origins Tracing™ erfolgreich entdeckt. Die apk-Datei, die diese Malware enthält, wird von Dr.Web Antivirus als Exploit.APKDuplicateName detektiert.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden