Trojaner

Neue Welle von Android-Malware lässt sich kaum mehr entfernen

| Autor / Redakteur: Franz Graser / Ira Zahorsky

Malware-Schmiede am Werk: Die drei Adware-Stränge Shuanet, ShiftyBug und Shedun weisen einen hohen Verwandtschaftsgrad auf und sind praktisch kaum mehr von einem befallenen Gerät zu entfernen.
Malware-Schmiede am Werk: Die drei Adware-Stränge Shuanet, ShiftyBug und Shedun weisen einen hohen Verwandtschaftsgrad auf und sind praktisch kaum mehr von einem befallenen Gerät zu entfernen. (Bild: Pixabay)

Experten von Lookout, einem auf Mobilgeräte spezialisierten Hersteller von Antivirensoftware, haben einen neuen Stamm von Android-Schadprogrammen nachgewiesen, die sich praktisch kaum mehr deinstallieren lassen.

Nach außen hin tarnen sich die bösartigen Programme als legitime Apps wie etwa Twitter oder Facebook. Insgesamt sind die Forscher auf rund 20.000 Varianten des Malware-Stammes gestoßen. Verbreitet werden sie größtenteils über Third-Party-Appstores.

Die Trojaner-Apps sind deswegen besonders tückisch, weil sie sich Superuser-Rechte auf dem befallenen Android-Gerät verschaffen. Die drei bekannten Hauptfamilien der Android-Malware mit den Namen Shedun, ShiftyBug und Shuanet installieren sich als Systemapplikationen und erhalten deshalb einen privilegierten Status bei der Ausführung.

Aus funktionaler Sicht handelt es sich bei dem beschriebenen Malware-Strang primär um Adware; die Apps bombardieren ihre Nutzer also mit unverlangten Werbeanzeigen. Es ist jedoch nicht ausgeschlossen, dass die Technik potenziell auch dazu genutzt werden kann, heimlich Apps auf das betroffene Gerät zu laden, die den Benutzer ohne dessen Wissen ausspähen.

„Wer ein betroffenes Gerät hat, dem bleibt oft nichts anderes übrig als sich ein neues Smartphone oder Tablet zu kaufen“, heißt es in einem Blog-Eintrag von Lookout Software. Ein Factory Reset, also das Zurücksetzen des Geräts auf die Fabrikeinstellungen, reicht nach Angaben von Lookout Software nicht aus.

Interessanterweise haben sich die kriminellen Schöpfer der Malware-Apps in vielen Fällen sogar die Mühe gemacht, die Grundfunktionalität der modifizierten Applikationen zu erhalten. Wer also beispielsweise eine Twitter-App herunterlädt, die mit dem Trojaner-Code ausgestattet ist, kann sie also benutzen. Auf diese Weise schöpfen die Besitzer befallener Geräte zunächst keinen Verdacht.

Die Cyber-Kriminellen haben also vermutlich die Apps aus legitimen Quellen wie GooglePlay heruntergeladen, mit dem Schadcode modifiziert und dann über Websites und Third-Party-Appstores verbreitet. Die Malware ist bisher vor allem in den USA nachgewiesen worden. Aber an zweiter Stelle der betroffenen Märkte folgt bereits Deutschland, danach kommen Iran, Russland, Indien, Jamaika, der Sudan und weitere Länder.

Nach Angaben von Lookout Software ist Google Play, der offizielle Appstore für Android-Applikationen, nicht betroffen; wer also seine Apps von Google Play bezieht, sollte im Moment sicher sein.

Es ist momentan noch nicht sicher, ob die drei Hauptstränge der tückischen Malware aus der gleichen Quelle stammen oder ob sie verschiedene Urheber haben. Der Codeanteil der einzelnen Varianten, die im Feld gefunden wurden, stimmt zu großen Teilen überein. Je nach Variante liegt die Übereinstimmung zwischen 71 und 82 Prozent.

Darüber hinaus verfügen alle drei über dieselben Techniken, die es ihnen erlauben, sich auf dem Gerät zu verbergen und sich der Deinstallation zu entziehen. Lookout Software geht zwar nicht davon aus, dass die drei Malware-Familien Shuanet, ShiftyBug und Sgedun allesamt vom selben Schöpfer stammen. Es könnte jedoch sein, dass die Urheber der drei Stränge in irgendeiner Form miteinander in Verbindung stehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43714995 / Malware)