Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Android-Trojaner spioniert Protestierende in Hongkong aus

Hanau, 3. Oktober 2014

Viele böswillige Applikationen für mobile Endgeräte werden nicht selten zur illegalen Sammlung von Informationen bzw. Spionage eingesetzt. Davon zeugt auch der vor kurzem entdeckte Android-Trojaner. Er unterscheidet sich von derartigen Bedrohungen nicht nur durch verfügbare Funktionen, sondern auch durch die anzugreifende Zielgruppe. Die Virenanalysten von Doctor Web haben den Android-Spion als Android.SpyHK.1.origin klassifiziert.

Die neue Android-Bedrohung verbreitete sich unter Protestteilnehmern in Hongkong, die für mehr Demokratie bezüglich des Wahlsystems plädierten. Der Trojaner wurde auf mobilen Endgeräten der Aktivisten unter dem Deckmantel einer Anwendung zur Aktionskoordination installiert und sollte bei den meisten Opfern keinen Verdacht auf Überwachung erweckt haben.

screen

Nachdem Android.SpyHK.1.origin gestartet ist, baut er eine Verbindung zum Verwaltungsserver auf, wo er Daten zum infizierten Endgerät (z.B. Betriebssystemversion, Telefonnummer, IMEI usw.) hochlädt. Danach wartet der Schädling auf Anweisungen der Übeltäter. Um illegale Befehle ausführen zu können, ist der Trojaner mit vielfältigen Funktionen ausgerüstet, und zwar:

  • Inhalte des vorgegebenen Verzeichnisses (Name, Größe, Änderungsdatum für Dateien und Verzeichnisse);
  • Standort des Endgeräts via GPS orten;
  • Eintrag in der Log-Datei vornehmen;
  • Mitteilung auf dem Bildschirm anzeigen;
  • Anruf an die vorgegebene Nummer tätigen;
  • Endgerätdaten sammeln;
  • Shell-Skript ausführen;
  • Auf erweiterte Kontaktliste (Name, Nummer, E-Mail-Adresse) zugreifen;
  • Auf alle Kurznachrichten zugreifen;
  • Auf das Anrufprotokoll zugreifen;
  • Telefonnummern in die Liste abzuhörender Kontakte hinzufügen;
  • Auf eine aktuelle Liste der abzuhörenden Kontakte zugreifen;
  • Datei von einer vorgegebenen Website herunterladen;
  • Vorgegebene Datei löschen;
  • Vorgegebene Datei auf den Verwaltungsserver hochladen;
  • Gesprächaufzeichnung aktivieren;
  • Gesprächaufzeichnung aktivieren und diese an den Verwaltungsserver übertragen;
  • Gesprächaufzeichnung abbrechen;
  • Lokale Datenbanken des integrierten E-Mail-Clients hochladen;
  • Auf den Verlauf des Web-Browsers zugreifen;
  • Daten zu den auf der Speicherkarte gespeicherten Dateien und Verzeichnissen auf den Verwaltungsserver übertragen;
  • Mehrere Befehle zur illegalen Datensammlung ausführen und Daten an den Verwaltungsserver senden.

Android.SpyHK.1.origin verfügt auch über Funktionen, die ihn von anderer Malware unterscheiden. Er nutzt die Sicherheitslücke im Akku-Widget aus, über die er globale Systemeinstellungen umgehen und die für ihn nötigen Optionen aktivieren kann. Obwohl diese Sicherheitslücke bereits 2011 behoben werden sollte, wird sie von Benutzern neuester Betriebssystemversionen immer noch gemeldet. Theoretisch könnte die Option zur Ortung des Endgerätes via GPS durch Android.SpyHK.1.origin aktiviert werden, auch wenn der Smartphone- oder Tablet-Benutzer diese Option deaktiviert hat.

Der digitale Spion ermöglicht durch die Übertragung von aufgezeichneten Gesprächen das Abhören in Echtzeit. Eine solche technische Lösung stellt eine Alternative zum verdeckten Anruf dar. Während die Datenübertragung im Mobilfunknetz durch Rechtschutzbehörden gesperrt werden kann, kann sie durch Übeltäter über verfügbare drahtlose Netzwerke durchgeführt werden. Dank einem leistungsstarken Server können die Cyber-Kriminellen neueste Informationen in kürzester Zeit erhalten, indem sie infizierte Android-Tablets und -Smartphones zu einem Überwachungssystem verwandeln.

Dies lässt auf einen gut durchdachten Angriff schließen, der die Datensammlung von Protestteilnehmern und ihren geplanten Aktionen in Hongkong zum Ziel hat. Es ist nicht auszuschließen, dass ähnliche Anwendungen auch in anderen Regionen der Welt eingesetzt werden. Mobile Anwender müssen deshalb höchste Vorsicht walten lassen, bevor sie ähnliche verdächtige Applikationen installieren.

Die Signatur für Android.SpyHK.1.origin wurde in die Dr.Web Virendatenbank aufgenommen. Der Schädling stellt deshalb für Anwender von Dr.Web Antivirus für Android und Dr.Web für Android Light keine Gefahr dar.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden