Doctor Web: Rückblick und Analyse von mobilen Bedrohungen für Mai 2017

Frankfurt, 31. Mai 2017

Der IT-Sicherheitsspezialist Doctor Web präsentiert den Rückblick von Bedrohungen für Smartphones und Tablets unter Android. Im vergangenen Monat wurden auf Google Play mehrere Android-Trojaner entdeckt. Der eine lud aus dem Internet böswillige Apps und sammelte vertrauliche Daten. Der andere konnte einzelne böswillige Programmmodule herunterladen und aufdringlich Werbung anzeigen. Außerdem haben Cyber-Kriminelle im Mai einen Bankentrojaner verbreitet, der das Geld von Konten der Nutzer klaute.

Bedrohung des Monats

Anfang Mai wurde auf Google Play der Trojaner Android.RemoteCode.28 entdeckt, der in einem Video-Player eingebettet war. Er lud aus dem Internet andere Apps herunter und übermittelte dem Verwaltungsserver benutzerbezogene Daten.

Besonderheiten von Android.RemoteCode.28:

• Hauptfunktionen des Trojaners befinden sich im verschlüsselten Dienstmodul;
• Android.RemoteCode.28 beginnt mit böswilligen Aktivitäten erst 8 Stunden nach seinem Start;
• Trojaner prüft das Gerät auf vorhandenen Emulator oder Debugger und bricht ab, wenn diese gefunden werden.

Statistik von Dr.Web Produkten für Android

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Trojaner, die aufdringliche Werbung anzeigen. Die Schädlinge verbreiten sich unter dem Deckmantel von beliebten Apps, die in einigen Fällen unsichtbar installiert werden.

• Android.Sprovider.9

Trojaner, der aufdringliche Werbung im Infobereich des Smartphones anzeigen, böswillige Apps herunterladen und installieren kann.

• Android.Triada.264.origin

Multifunktionaler Trojaner, der verschiedene Aktionen durchführen kann.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Unerwünschte Module, die in Android-Apps eingebettet werden und Werbung anzeigen.

Trojaner auf Google Play

Mitte Mai wurden auf Google Play Apps entdeckt, die mit Android.Spy.308.origin ausgerüstet waren. Die Apps wurden vom Entwickler Sumifi Dev verbreitet. Dies ist nicht der einzige Fall, in dem der oben erwähnte Schädling auf Google Play vordringt. Ein ähnlicher Fall wurde von Doctor Web hier im Juli 2016 gemeldet. Kurz nach der Entdeckung von Android.Spy.308.origin aktualisierte der App-Entwickler seine Apps und löschte die Trojaner-Komponente. Nun stellen sie keine Gefahr für Nutzer dar.

Android.Spy.308.origin zeigt aufdringliche Werbung an, lädt Module herunter und startet diese. Darüber hinaus sammelt der Schädling vertrauliche Daten und leitet diese an den Verwaltungsserver weiter.

Bankentrojaner

Im Mai haben Cyber-Kriminelle den Trojaner Android.BankBot.186.origin. verbreitet, der als MMS getarnt war. Nutzer erhielten Kurznachrichten mit einem Link. Wenn man dem Link folgt, öffnet sich eine böswillige Webseite, von der auf das mobile Gerät eine apk-Datei der schädlichen App heruntergeladen wird.

Android.BankBot.186.origin fordert Administratorprivilegien an, um seine Entfernung zu erschweren. Außerdem versucht er, die standardmäßige SMS-App auf dem Smartphone zu ersetzen. So will er das Sicherheitssystem von Android umgehen und die Möglichkeit bekommen, Kurznachrichten zu versenden und abzufangen. Danach prüft der Trojaner auf dem Gerät Guthaben von vorhandenen Bankkonten und überweist den Cyber-Kriminellen das Geld der Nutzer.

Böswillige Apps für mobile Endgeräte unter Android sind immer noch gefährlich. Trojaner können sich nicht nur über schädliche Webseiten, sondern auch über den offiziellen App-Katalog Google Play verbreiten. Um sich gegen Riskware und Malware zu schützen, installieren Sie Dr.Web für Android.