Android-Malware wird immer raffinierter

MobileMobile OSSicherheit
android-malware

Kaspersky hat einen “multifunktionalen Trojaner” entdeckt, der in seiner Komplexität Windows-Malware ähnelt. Die Malware nutzt noch unveröffentlichte Schwachstellen im Betriebssystem. Sie tarnt sich durch mehrstufige Verschlüsselung, verschafft sich Admin-Rechte und kommuniziert mit Kontrollservern.

Kaspersky hat eine Android-Anwendung untersucht, die sich bei der Analyse durch die Sicherheitsforscher als “multifunktionaler Trojaner” entpuppte. Das Schadprogramm ähnelt eher Windows-Malware als bisherigen Android-Trojanern. Das machen die Kaspersky-Mitarbeiter an dessen Komplexität und der Zahl unveröffentlichter Schwachstellen fest, die es nutzt.

android-malware

Der als Backdoor.Android.OS.Obad.a bezeichnete Trojaner hat mit ähnlichen Schadeprogrammen gemeinsam, dass er Textnachrichten an Rufnummern mit erhöhten Tarifen versenden kann. Darüber hinaus kann er aber auch zusätzliche Malware nachladen und über Bluetooth andere Geräte infizieren. Ausspionierte Daten schickt er als verschlüsseltes JSON-Objekt an die Kommando- und Kontrollserver bei Androfox.com, darunter Geräteinformationen, Nutzerdaten sowie die Information, ob es ihm gelungen ist, sich Geräteadministrator-Rechte zu verschaffen.

Die Android-Malware nutzt dafür eine Zero-Day-Lücke in Googles Mobilbetriebssystem und erscheint dadurch nicht in der Liste von Anwendungen mit solchen Rechten. Laut Kaspersky ist es unmöglich, die bösartige Software vom Smartphone zu entfernen, wenn sie die erweiterten Rechte einmal erlangt hat. Sie arbeite außerdem immer nur im Hintergrund. Mit dem Befehl “su id” versuche sie außerdem, Rootrechte zu erlangen.

Die Malware-Autoren können den Trojaner auch mit Textnachrichten kontrollieren. Sie nutzen zudem offenbar weitere Lücken, um seine Entdeckung zu verhindern. Beispielsweise verändern sie die Datei AndroidManifest.xml, die im Stammverzeichnis jeder Android-Anwendung enthalten sein muss und wesentliche Informationen zur App liefert. Obwohl sie von den Vorgaben Googles abweicht, wird sie von Android aufgrund einer Schwachstelle dennoch ausgeführt.

Ihre Aktivitäten verschleiert die Anwendung durch raffinierte mehrstufige Verschlüsselung. So werden die wichtigsten Zeichenketten, die die Adresse der Kommando- und Kontrollserver enthalten, bei bestehender Internetverbindung mit einem Schlüssel codiert, der aus einem bestimmten Element der Webseite Facebook.com besteht.

Trotz seiner beeindruckenden Fähigkeiten hat sich Backdoor.AndroidOS.Obad.a bislang nur mäßig verbreitet. Während einer dreitägigen Beobachtungsphase machten seine Installationsversuche nicht mehr als 0,15 Prozent aller Versuche aus, Mobilgeräte mit Malware zu infizieren.

[mit Material von Bernd Kling, ZDNet.e]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen