Hanau, 27. Oktober 2014

Die Virenanalysten von Doctor Web haben einen Dialer-Trojaner entdeckt, der mobile Endgeräte unter Android infiziert. Der Bösewicht führt kostspielige Anrufe ohne Einwilligung des Benutzers aus und kann dadurch Cyber-Kriminelle finanzieren. Dabei kann er sich effektiv gegen das Löschen zur Wehr setzen. Solche Schadsoftware ist längst bekannt und wurde zu Zeiten der Dial-up-Verbindung aktiv verbreitet. Ihre Hauptaufgabe war es, eine Telefonnummer (u.a. eines Services für Erwachsene) anzurufen. Dafür wurde vom Konto des Benutzers ein Betrag zugunsten der Übeltäter abgebucht. Heute ist solche Malware selten anzutreffen, wird aber trotzdem für illegale Zwecke nach wie vor eingesetzt.

Der neue Android-Trojaner, der unter dem Namen Android.Dialer.7.origin geführt wird, stellt einen Dialer dar, der Anrufe an kostenpflichtige Telefonnummern tätigt. Der Schädling wird durch Cyber- Kriminelle verbreitet. Nach der Installation wird eine Desktopverbindung ohne Signatur erstellt. Der Benutzer kann den Eindruck bekommen, dass die Installation solcher Anwendungen nicht gelungen ist. Nachdem aber Android.Dialer.7.origin gestartet wurde, kann er eine Fehlermeldung des Zugriffs auf einen Service ausgeben und seine Spuren verwischen, indem er als Systemservice läuft. Der Schädling kann nicht nur manuell, sondern auch automatisch gestartet werden, nachdem das infizierte Endgerät eingeschaltet wurde. Deshalb kann er auch ohne Mitmischen des Benutzers mit seinen böswilligen Aktionen beginnen.

Der durch Android.Dialer.7.origin gestartete Service führt regelmäßig Anrufe an die Nummer 803402470 aus. Bei Bedarf können Cyber-Kriminelle die anzurufende Telefonnummer anpassen, indem sie einen entsprechenden Befehl vom Verwaltungsserver aus abgeben. So kann Android.Dialer.7.origin flexibler funktionieren und die Betrüger können gleichzeitig an mehreren kostenpflichtigen Services verdienen.

Um seiner Entdeckung durch den Benutzer vorzubeugen, deaktiviert der Trojaner das Mikrofon des mobilen Endgerätes während des Gesprächs und löscht seine Spuren im System-Registry und -Protokoll.

Die Hauptbesonderheit des Schädlings ist jedoch seine Fähigkeit, sich selbst vor dem Löschen zu schützen. Sobald der Benutzer auf Systemeinstellungen, über die er Anwendungen verwaltet kann, zugreift, blockiert Android.Dialer.7.origin diese Aktion und leitet ihn auf den Hauptbildschirm des Betriebssystems weiter. Der Trojaner lässt sich manuell nicht löschen.

Dr.Web Antivirensoftware kann den Trojaner auf mobilen Endgeräten erfolgreich entdecken und löschen. Die Benutzer von Dr.Web Antivirus für Android und Dr.Web Antivirus für Android Light sind zuverlässig geschützt und müssen sich keine Sorgen machen. Wenn Sie Android.Dialer.7.origin nicht selbständig löschen können, benutzen Sie die Deblockierungsoption und wiederholen Sie den Scan- und Desinfizierungs-Vorgang.