Frankfurt, 29. Dezember 2014

Der Monat Dezember war für Android-Anwender kein leichter Monat. Cyber-Kriminelle haben zum Jahresende für zahlreiche Überraschungen gesorgt und mehrere Trojaner lanciert, u.a. Banken- und Firmware-Trojaner. Die Kennungen der entdeckten Schädlinge wurden bereits in die Dr.Web Virendatenbank eingetragen.

Obwohl die Einbettung von böswilligen Applikationen in die Firmware von Android-Endgeräten keine neue Verbreitungsmethode für Malware ist, wird sie eher selten für Angriffe gegen Android-Anwender eingesetzt. Nichtsdestoweniger trifft man hin und wieder auf Android-Trojaner, die entweder im mobilen Betriebssystem eingebettet oder auf einem Android-Endgerät vorinstalliert sind. Im Dezember wurden mehrere Fälle entdeckt, wo diese Trojaner verdeckte Aktionen auf Befehl von Cyber-Kriminellen ausführen sollten. So konnte z.B. der unter dem Namen Android.Backdoor.126.origin geführte Schädling auf Befehl eines Verwaltungsservers Kurznachrichten mit vorgefertigtem Text unter den eingehenden SMS eines Benutzers platzieren und den Empfänger täuschen. Der in die Firmware eingebettete Trojaner bot noch mehr Möglichkeiten für seine Befehlshaber. Der unter dem Namen Android.Backdoor.130.origin geführte Schädling konnte Kurznachrichten verschicken, Anrufe tätigen, Werbung anzeigen, Applikationen herunterladen und ohne Benutzerkenntnis installieren sowie sensible Daten wie Anrufprotokolle, SMS-Verläufe, den Standort des Benutzers usw. an den Verwaltungsserver übertragen. Darüber hinaus konnte Android.Backdoor.130.origin bereits installierte Anwendungen deinstallieren sowie andere unerwünschte Aktionen durchführen. Da der Trojaner eine Systemanwendung darstellt, führte er seine Aktivitäten ohne Benutzer durch. Aus diesem Grund ist er eine ernsthafte Gefahr für Inhaber von infizierten Endgeräten.

Eine weitere Android-Bedrohung, die im Dezember auf sich aufmerksam machte, ist Android.SmsBot.213.origin, der auf einem infizierten Endgerät auf Befehl der Übeltäter agieren kann. Der Schädling ist z.B. in der Lage, Kurznachrichten zu verschicken und abzufangen sowie sensible Daten an den Verwaltungsserver von Cyber-Kriminellen zu übermitteln. Die Hauptgefahr für Android-Anwender besteht darin, dass diese Malware an Online-Banking-Zugangsdaten gelangen kann. Der Bösewicht kann das Geld der Opfer auf das Konto von Cyber-Kriminellen überweisen, nachdem er SMS-Codes für Online-Banking-Systeme abgefangen hat. Das Besondere an diesem Schädling ist, dass er als beliebte Spielapplikation verbreitet und installiert wurde. Nachdem die Malware installiert und gestartet wurde, initiierte sie die Installation einer verdeckten authentischen Spielapplikationsdatei, löschte seine Desktopverbindung und lief als Systemservice. Diese Methode sollte nach Meinung der Übeltäter für ein geringeres Risiko der Deinstallation von Malware durch das Opfer sorgen und die Tür für Cyber-Kriminelle weiter öffnen.

Cyber-Kriminelle, die vor kurzem südkoreanische Android-Anwender angegriffen haben, sind wieder aktiv und verbreiten Android-Trojaner über unerwünschte Kurznachrichten. Diese Kurznachrichten sollen Anwender über einen Link zum Herunterladen von böswilligen Anwendungen bringen. Im Dezember wurden ca. 160 solcher Spam-Kampagnen entdeckt, wo Trojaner wie Android.MulDrop.48.origin (40,25%), Android.MulDrop.46.origin (28,93%), Android.MulDrop.49.origin (27,67%), und Android.Spy.86.origin (1,89%) eingesetzt wurden.