Android-Schädling Marcher tarnt sich als Security-Update

Allgemein
Android (Grafik: ZDNet)

Eine gefälschte Google-Website warnt vor einem möglichen Virenbefall. Nutzer sollen sich durch ein angebliches Firmware-Update davor schützen. Die Datei “Firmware-Update.apk” ist jedoch eine Schadsoftware. Sie späht Anmeldedaten von verschiedenen Diensten und Apps aus.

Forscher des Cloud-Sicherheitsanbieters Zscaler haben eine neue Variante der Android-Malware Marcher entdeckt. Sie gibt sich als Firmware-Update für Android-Geräte aus, das die Sicherheit verbessern soll. Ohne die angebliche Aktualisierung sollen Smartphones und Tablets anfällig für Viren und Datendiebstahl sein – letzteres ist indes Marchers eigentliches Ziel.

App-Malware (Bild: Shutterstock)In einer neuen Kampagne wird Marcher nun nicht mehr über gefälschte Apps im Amazon Appstore sowie Google Play Store verteilt, sondern über eine Website mit einer angeblichen Sicherheitswarnung von Google. “Ihr Telefon ist unsicher”, heißt es dort. “Ihr Android-Telefon hat drei kritische Probleme und ist anfällig für Viren. Einige Ihrer Fotos, Chat-Nachrichten und Kontopasswörter sind möglicherweise für andere im Internet sichtbar. Um weitere Datenverluste zu verhindern, laden Sie bitte das Firmware-Update herunter.”

Anschließend wird Betroffenen die Datei “Firmware-Update.apk” zum Download angeboten. Dabei handelt es sich um eine Schadsoftware, die unter anderem Administratorrechte einfordert.

Während frühere Marcher-Varianten auf Nutzer in bestimmten Ländern ausgerichtet waren, prüft die neue Version, ob sich das Gerät in einem Land der Gemeinschaft Unabhängiger Staaten (GUS) befindet und stellt in dem Fall alle Aktivitäten ein. Die Forscher vermuten, dass die Hintermänner von Marcher auf diese Art eine Strafverfolgung in ihren Heimatländern verhindern wollen.

Darüber hinaus versucht Marcher nun, mithilfe einer Base64-Verschlüsselung seiner Entdeckung zu entgehen. Die Kommunikation mit den Befehlsservern der Cyberkriminellen erfolgt nun ebenfalls verschlüsselt. Außerdem ist die Malware in der Lage, Anmeldeseiten verschiedener Apps und Dienste nachzuahmen, um Anmeldedaten auszuspähen. Darunter sind der Google Play Store und die Messaging-Anwendungen WhatsApp, Viber, Skype, Facebook Messenger und Line. Aber auch Twitter, Facebook, Gmail und Chrome sind betroffen.

“Wir erleben zahlreiche Infektionsversuche dieser Malware-Familie in unserer Cloud”, heißt es in einem Blogeintrag von Zscaler. “Diese häufigen Änderungen weisen auf eine aktive Malware-Entwicklung hin, die sich stetig weiterentwickelt – was es zur häufigsten Bedrohung für Android-Geräte macht.”

Schon im April hatte Zscaler von einer Android-Malware gewarnt, die Bankdaten stiehlt und sich als Chrome-Update tarnt. “Die Malware kann von kompromittierten oder bösartigen Seiten kommen und mit Scareware-Taktik oder Social Engineering verteilt werden”, sagte Zscaler-Direktor Deepen Desai zu dem Zeitpunkt. “Das haben wir bei bösartigen Android-Applikationspaketen in letzter Zeit öfter beobachtet, dass sie Scareware-Taktiken verwenden und der User per Pop-up einen Hinweis erhält, sein Gerät sei infiziert. Das angebliche Update verspricht dann eine Säuberung des Geräts.” Zumindest den Sicherheitsaspekt dieser Taktik haben die Hacker nun auch für die neue Variante von Marcher übernommen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de