Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Trojaner in einer Eye-Care-App

Baden-Baden, 1. Dezember 2020

Die Virenanalysten von Doctor Web haben einen Trojaner in einer Eye-Care-App entdeckt, die die Sehkraft der Nutzer unterstützen und verbessern soll. Neben ihren dokumentierten Funktionen führt die App böswillige Aktionen aus – sie klickt auf Links und zeigt Websites über anderen Apps an.

Die App namens „Eye Care - Your close Eye Care Assistant“ ist seit 2018 auf Google Play verfügbar. Die Trojaner-Funktionalität der App gibt es erst seit 2019, ab Version 1.2.11. Bösartige Versionen der App wurden in die Dr.Web Virendatenbank als Android.Mixi.44.origin hinzugefügt.

#drweb Android.Mixi.44.origin

Die App sieht harmlos aus und funktioniert gemäß Erwartungen des Benutzers. Sobald sie jedoch einmal gestartet ist, beginnt sie jedoch, unbemerkt böswillige Aktionen auszuführen.

#drweb Android.Mixi.44.origin

Android.Mixi.44.origin sammelt folgende Informationen über das infizierte Gerät und überträgt sie an einen Remote-Server:

  • eindeutige Benutzerkennung, die vom Trojaner generiert wird
  • eindeutige Kennung des Geräts
  • Google-Anzeigen-ID
  • Betriebssystemversion
  • Version der App, in die der Trojaner eingebettet ist
  • installierte Version der Play Market-App
  • Version der WebView-Engine

Eine der App-Funktionen besteht darin, kürzlich ausgeführte App-Installationen in betrügerischer Weise zu monetarisieren. Zu diesem Zweck überwacht Android.Mixi.44.origin laufend Installation und Entfernung von Apps und speichert Informationen über jede solcher Aktionen.

Von einem C&C-Server erhält der Trojaner einen Link zur Website, von der die Liste der aufzurufenden Webadressen übertragen wird. Unauffällig lädt er jede einzelne Ressource herunter. Wenn Umleitungen zu einer App-Seite führen, die auf Google Play gehostet wird, aber noch nicht auf dem Gerät installiert ist, merkt sich der Trojaner den Paketnamen dieser App und die Uhrzeit. Anschließend wartet er, bis der Benutzer das gewünschte Programm installiert. Wenn Android.Mixi.44.origin die Installation einer solchen App erkennt, überträgt er den Namen des Pakets sowie eine Empfehlungskennung (Mitglieds-ID des Partnerprogramms) an einen Werbeanalysedienst, der erfolgreich abgeschlossene Werbetransaktionen verfolgt. Auf diese Weise versucht der Trojaner, den Dienst zu täuschen und die Installation der App den Cyber-Kriminellen zuzuschreiben.

Wenn der Link zur bereits installierten App auf Google Play führt und dies dem Trojaner bekannt ist, versucht Android.Mixi.44.origin den Analysedienst zu täuschen, indem er den Namen des Pakets zusammen mit der Verweis-ID der Angreifer übermittelt.

Zur weiteren Funktion von Android.Mixi.44.origin gehört der Klicker-Modus, wenn die vom Trojaner empfangenen Links zu allen möglichen Webseiten führen. Er ruft diese unbemerkt auf, erhöht deren Popularität und trägt dazu bei, dass die Angreifer über Affiliate-Dienste bezahlt werden.

Darüber hinaus ist der Trojaner in der Lage, verschiedene Webseiten zu laden und sie über die Fenster anderer Apps sowie über die Schnittstelle des Betriebssystems selbst anzuzeigen. Dazu nutzt er die seit mehreren Jahren bekannte Schwachstelle Toast Overlay aus. Android-Geräte bis Version 7.1 sind für diese Schwachstelle anfällig. Der Trojaner erzeugt eine Popup-Benachrichtigung, die wie ein Toast aussieht und alle anderen grafischen Elemente überlagert. In dieser Benachrichtigung wird WebView mit der geladenen Zielwebseite platziert. In diesem Fall kann der Inhalt einer solchen Seite beliebig sein: ein Werbebanner, ein Video oder sogar eine Phishing-Seite.

Zu den Hauptfunktionen von Android.Mixi.44.origin gehören Werbung, die Fälschung der Popularitätszähler von Websites sowie deren mögliche Verwendung bei Phishing-Angriffen. Der Trojaner gehört jedoch zu einer Familie von multifunktionalen böswilligen Apps, die eine Vielzahl von Aufgaben übernehmen können. Einzelne Vertreter dieser Familie sind z.B. in der Lage, Root-Berechtigungen zu erhalten, unbemerkt andere Programme zu installieren und zu entfernen sowie andere gefährliche Aktionen durchzuführen. Einige wurden auch in den Systemverzeichnissen von Android-Geräten entdeckt. Android.Mixi.36.origin ist einer davon. Er verwendet das potenziell gefährliche Dienstprogramm Tool.SilentInstaller.7.origin, um heimlich herunterladbare Apps zu starten. Unter den Programmen, die er herunterlädt, kann sich auch Android.Mixi.42.origin , eine der Modifikationen des als Android.Mixi.44.origin erkannten Trojaners, befinden. Sie verfügt über alle seine Funktionen und kann zudem Apps unbemerkt herunterladen und ausführen.

Dr.Web Apps für Android erkennen alle bekannten Modifikationen von Android.Mixi.44.origin sowie andere Trojaner dieser Familie. Diese sind also für unsere Benutzer nicht gefährlich. Um bösartige Android-Apps aus Systemverzeichnissen zu entfernen, benötigen Sie Dr.Web Security Space für Android sowie einen Root-Zugriff. Sie können auch mit Hilfe von Dr.Web Security Space für Android prüfen, ob Ihr Gerät der Schwachstelle Toast Overlay ausgesetzt ist.

Mehr zu Android.Mixi.44.origin

Mehr zur Sicherheitslücke Toast Overlay

Dr.Web Mobile Security

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

  • Eine der ersten Malwareschutz-Apps für Android weltweit
  • Über 140 Mio Downloads – nur auf Google Play
  • Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

Kostenlos heurunterladen

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware
Entwickelt seit 1992
Dr.Web wird in mehr als 200 Ländern genutzt
Antivirus im SaaS-Modell seit 2007
Technischer Support rund um die Uhr

Dr.Web © Doctor Web
2003 — 2021

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden