Fake Wetter-App „Good Weather“ jetzt „World Weather“
Die ursprüngliche Version wurde von ESET als Trojan.Android/Spy.Banker.HU enttarnt und bereits am 6. Februar gemeldet, wie welivesecurity ausführlich dazu berichtete. Die Malware war damals als Fake Wetter-App „Good Weather“ im Google Play Store vorhanden. Der damit eingeschleuste Trojaner soll es auf die Anmeldeinformationen von 22 türkischen Banken abgesehen haben. Außerdem konnte das Android-Smartphone ferngesteuert gesperrt und SMS-Kurznachrichten abgehört werden.
Im Nachhinein stellten die Forscher nun fest, dass sich ein neuer Trojaner im Google Play Store versteckte. Die Tarnung erfolgte diesmal mit der „World Weather“-App. ESET entdeckt die Malware als Trojan.Android/Spy.Banker.HW. Bis zur Entfernung der Fake-App am 20. Februar durch den Hinweis von ESET vergingen sechs Tage.
Quellcode öffentlich verfügbar
Weitere Untersuchungen der ESET-Experten machten deutlich, dass beide Android-Trojaner auf einem im Internet frei verfügbaren öffentlichen Quellcode basieren. Dieser „Template-Code“ und der Web Control Code des C&C-Servers waren seit dem 19. Dezember 2016 in einem russischen Forum zu finden.
Den Forschern gelang es Zugang zum Web Control Panel des C&C-Servers zu erlangen. Dieser war glücklicherweise während unseres Untersuchungszeitraumes online und mit den Bots verbunden. Durch das Control Panel waren wir in der Lage, an Informationen zur Malware-Version und allen 2800+ angeschlossen Bots zu gelangen.
Die Funktionsweise des Trojaners
Zur Funktionsweise des Android-Trojaners heißt es:
Der zuletzt entdeckte Android-Trojaner besitzt in etwa die gleichen Features wie sein Vorgänger. Neben der Funktion der Wettervorhersage, die der originalen Anwendung nachempfunden sind, ermöglicht der Trojaner Trojan.Android/Spy.Banker.HW aber auch das ferngesteuerte Sperren und Freigeben kompromittierter Geräte und das Abfangen von SMS-Kurznachrichten.
Der einzige Unterschied liegt in der nun größeren Zielgruppe. Die Malware befällt in der zweiten Variante Benutzer von 69 britischen, österreichischen, deutschen und türkischen Banken und kann ihre heimtückischen Hintergrund-Aktivitäten noch besser verschleiern.
Schutz vor Bedrohungen
Dazu rät ESET:
- Google Play setzt ausgefeilte Sicherheitsmechanismen ein, um Malware aus dem Play Store auszuschließen. Leider gelingt das nicht immer lückenlos. Alternative App-Stores oder gar unbekannte Quellen besitzen überhaupt keine oder nur geringe Sicherheitsvorkehrungen. Insofern es möglich ist, empfehlen wir deshalb immer den Einsatz des Google Play Stores.
- Vor dem Herunterladen sollten immer die von der App eingeforderten Berechtigungen genau angesehen werden. Anstelle der eingeblendeten Übersicht automatisch zuzustimmen, sollte man die Forderungen kurz auf Verhältnismäßigkeit überprüfen. Bei Unsicherheit lohnt sich ein kurzer Blick in die Bewertungen der Anwendung. Besonders hilfreich sind die negativen Erfahrungsberichte, denn positive Berichte könnten gekauft sein.
- Nur besondere Anwendungen benötigen Geräteadministrator-Rechte – eine Wetter-App allerdings nicht. Hier darf man ruhig stutzig werden.
- Mobile Security Software bietet oft eine zuverlässige Schutzbarriere gegen Android-Malware. Außerdem bildet sie das letzte Sicherheitsnetz, wenn die menschlichen Fähigkeiten versagen.
- Wer mehr über Android-Malware erfahren möchte, kann einen Blick in unser neustes Whitepaper werfen.
- Ab der nächsten Woche ist ESET auch auf dem Mobile World Congress 2017 zu finden und stellt sich den Fragen des Publikums.
Weiterführende Links:
welivesecurity.com: Android-Malware: ESET kann Botnet abschalten
