Hanau, 20. September 2013

Der IT-Sicherheitsspezialist Doctor Web hat das bisher weltweit größte Botnet aus infizierten Android-Geräten entdeckt. Zur Zeit sind es mehr als 200 000 Endgeräte, die durch Android.SmsSend infiziert wurden und nun im Botnet eingebunden sind. Die Hauptinfektionsquelle sind vor allem Websites der Übeltäter bzw. Websites, die von Übeltätern geknackt wurden. Die meisten infizierten Endgeräte gehören Anwendern aus Russland, der Ukraine, Belarus und Kasachstan. Nach vorläufigen Informationen beläuft sich der Gesamtschaden wegen des Botnets auf mehrere hunderttausend Euro.

Zum Infizieren und Einbinden der Endgeräte ins Botnet haben die Übeltäter den neuen Trojaner Android.SmsSend.754.origin sowie weitere Exemplare wie Android.SmsSend.412.origin (bekannt seit März 2013 und als mobiler Webbrowser verbreitet), Android.SmsSend.468.origin (bekannt seit April 2013) und Android.SmsSend.585.origin (bekannt seit Juni 2013) benutzt. Der erste Trojaner Android.SmsSend.233.origin wurde in die Virendefinitionsdatei bereits im November 2012 eingetragen. Die meisten Endgeräte wurden durch Websites der Übeltäter sowie die eingebrochenen Websites infiziert

Der Trojaner Android.SmsSend.754.origin ist eine apk-Anwendung mit dem Namen Flow_Player.apk. Der Schädling nistet sich im Betriebssystem ein und bittet den Anwender, die entsprechende Anwendung auszuführen. Nachdem der Schädling die Administratorrechte erworben hat, kann er den Bildschirm sperren. Dabei kann sich Android.SmsSend.754.origin auf dem Endgerät erfolgreich maskieren.

Nachdem sich der Trojaner auf dem mobilen Endgerät installiert hat, sendet er Übeltätern solche Daten wie IMEI des Endgeräts, Guthaben, Telefonnummer des Opfers, Modell des Mobiltelefons und Version des Betriebssystems. Anschließend wartet Android.SmsSend.754.origin auf einen Befehl von Übeltätern. Der Schädling kann u.a. eine SMS mit dem vordefinierten Text und an eine vorgegebene Telefonnummer bzw. Telefonkontakte versenden und URLs im Browser öffnen.

Nach Informationen unserer Virenanalysten sind es heute über 200 000 mobile Endgeräte unter Google Android, die durch den Trojaner infiziert wurden. 128 458 Geräte stammen aus Russland, 39 020 – aus der Ukraine. Die restlichen aus Kasachstan, Belarus und anderen Ländern. 21 555 Anwender sind bereits wegen des Botnets zu Schaden gekommen.

Es ist das weltweit größte Botnet von Android-kompatiblen Endgeräten, das im laufenden Halbjahr entdeckt wurde. Nach Einschätzung unserer Virenanalysten kann sich der resultierende Schaden auf mehrere hunderttausende Euro beziffern.

Zur Zeit werden alle oben erwähnten Trojaner von Dr.Web Software erfolgreich detektiert und gelöscht. Den Anwendern ist es auch dringend empfohlen, Software von verdächtigen Websites nicht zu installieren. Unsere Virenanalysten informieren Sie laufend über den Stand der Dinge.