Backdoor-Trojaner Android/Spy.Krysanec

Android Malware mit Backdoor als seriöse Apps getarnt

| Redakteur: Peter Schmitz

Zwar sind längst nicht alle Android-Apps aus weniger vertrauenswürdigen Stores oder Foren schädlich, aber die Gefahr auf eine getarnte Schadsoftware hereinzufallen ist hier eindeutig größer.
Zwar sind längst nicht alle Android-Apps aus weniger vertrauenswürdigen Stores oder Foren schädlich, aber die Gefahr auf eine getarnte Schadsoftware hereinzufallen ist hier eindeutig größer. (Bild: VBM)

Eine neue Android-Malware mit Remote Access-Funktionen tarnt sich als vertrauenswürdige, sichere Android-Applikatione. Die Sicherheitsexperten von Eset haben den Android Schädling entdeckt, der als angeblich gecrackte Version seriöser Apps außerhalb des Google Play Store verbreitet wird.

Immer wieder rät der Security-Spezialist ESET Android-Nutzern eindringlich, keine Anwendungen von zwielichtigen Quellen herunterzuladen und bei seriösen Stores wie dem offiziellen Google Play Store zu bleiben. Auch hier taucht zwar hin und wieder Malware auf, aber dank Google Bouncer sind die Kontrollen viel besser als bei alternativen App Stores.

Erst vor kurzem hat ESET eine Android-Malware entdeckt, welche die Relevanz des Ratschlags verdeutlicht: Ein RAT (Remote Access Tool), das sich als verschiedene, sichere Android-Applikationen tarnt.

Verbreitungsmechanismen

Android-Malware tarnt sich oftmals als gekrackte Version von beliebten, seriösen Apps – als ein Spiel oder als andere mehr oder weniger nützliche Software. Häufig sind die regulären Funktionen verfügbar, nur dass es einen kleinen Zusatz gibt – einen Trojaner.

Der Backdoor-Trojaner, den ESET als Android/Spy.Krysanec erkennt, wurde in Modifikationen der folgenden Apps gefunden: MobileBank (Mobile Banking-App der russischen Sberbank), 3G Traffic Guard (Monitoring-App für die Datennutzung) sowie einige andere, darunter auch die ESET Mobile Security.

Das Android-App-Ökosystem bietet eine zuverlässige Maßnahme gegen solche unbefugten und böswilligen Änderungen, indem die Anwendungen mit dem echten Entwicklerzertifikat digital signiert werden. Die getarnten Krysanec-Varianten hatten keine validen Zertifikate. Natürlich überprüfen nicht alle Nutzer die Anwendungen, die sie auf ihr Smartphone installieren – insbesondere diejenigen nicht, die ihre Apps auf zweifelhaften Quellen suchen.

ESET hat herausgefunden, dass die Malware über verschiedene Kanäle verbreitet wird, wie zum Beispiel typische Filesharing-Seiten (unter anderem Warez) oder einem russischen sozialen Netzwerk.

Funktionsweise

Die infizierten Anwendungen beinhalten die Android-Version vom Unrecom RAT (Remote Access Tool), ein plattformübergreifendes Remote-Access-Tool. Die Malware ist in der Lage, verschiedene Daten vom infizierten Gerät abzufangen, sich mit seinem Command & Control (C&C) Server zu verbinden sowie andere Plug-in-Module herunterzuladen und auszuführen.

Die Module geben der Backdoor auf dem Gerät unter anderem Zugriff auf die Erstellung von Fotos, die Aufnahme einer Audiospur mit dem Mikrofon, die aktuellen GPS-Daten, Listen aller installierten Anwendung, aller aufgerufenen Webseiten und aller getätigten Anrufe. Außerdem ermöglicht die Hintertür den Zugriff auf die Kontaktliste und alle Nachrichten (SMS und WhatsApp).

C&C Server auf DDNS-Domain

Interessanterweise wurden einige der von ESET analysierten Malware-Exemplare, die mit dem C&C Server verbunden waren, auf einer Domain gehostet, die dem Dynamic-DNS-Anbieter no-ip.com gehört. No-IP machte vor kurzem Schlagzeilen, als Microsofts Digital Crime Unit 22 der Domains des Unternehmens übernahm. Diese wurden genutzt, um Malware zu verbreiten. Microsoft hat den Fall anschließend allerdings fallengelassen.

Bei Windows Desktops sind Remote-Access-Tools relativ gängig, bei Android-Geräten hingegen nicht. Der Ratschlag kann also wieder nur lauten: Nutzer sollten ESET Mobile Security, aber auch alle anderen Apps nur von vertrauenswürdigen Quellen wie dem Google Play Store herunterladen. Und selbst hier sollten sie immer darauf achten, welche Zugriffsrechte eine App verlangt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42895840 / Malware)