Gefährlicher Android – Trojaner von Doctor Web entdeckt

Der gefährliche neue, komplexe und multifunktionale Trojaner ist in der Lage, vertrauliche Benutzerdaten zu stehlen und Kurznachrichten zu versenden. Über SMS informieren die Cyber-Kriminellen, dass es eine vermeintliche Verlangsamung bei der Zustellung einer Kurznachricht gibt.
Um weitere Details zu erhalten, sollen die Anwender auf einen Link klicken. Sobald dieser ausgewählt wurde, wird das Opfer auf eine Webseite umgeleitet, wobei gleichzeitig der Download einer .apk-Datei startet, die Android.Titan.1 beinhaltet. Nachdem der Nutzer die Ausführung der Datei bestätigt hat, installiert sich die Malware und wird mit dem Touchscreen verknüpft. Danach passiert so lange nichts, bis der Besitzer des infizierten Endgerätes den Trojaner selbst startet. Beim ersten erfolgreichen Start der Anwendung wird das Icon gelöscht. Die Schadsoftware läuft jedoch im Hintergrund weiter. Gleichzeitig werden die letzten Kurznachrichten des Opfers durch SMS des Trojaners ersetzt über die er noch tiefer ins Android-System eindringt. Überdies läuft Android.Titan.1 ohne Benutzerbeteiligung und lädt zusammen mit dem Betriebssystem.
Android.Titan.1 führt seine Aktivitäten dank diverser Services durch. So prüft die Malware, ob Android.Titan.1 durch den Nachrichten-Manager gestartet wurde. Wenn dies nicht der Fall ist, werden entsprechende Systemeinstellungen angepasst. Anschließend wartet der Trojaner auf einen Internetzugang, baut eine Verbindung zum Verwaltungsserver auf und lädt Daten zum Endgerät einschließlich des Endgerätemodells, der Version des Betriebssystems, der MAC-Adresse des Endgeräts, IMEI-, IMSI- und Telefonnummer des Opfers hoch.

Der Schädling kann folgende Befehle starten:

- Service für Prozesse der Anwendung com.kakao.talk starten;

- Service zum Vorschieben von Telefonnummern starten;

- Anrufparameter (regulär, ohne Ton, mit Vibration) und Töne anpassen;

- Service zum Austausch mit Kurznachrichten starten;

- Service für Anrufe starten (beim Anruf wird der Bildschirm gesperrt);

- Daten zu Telefonkontakten an den Server schicken;

- Service zum Anzeigen von Benachrichtigungen und entsprechenden Bildern starten.
Ferner bietet Android.Titan.1 die Möglichkeit des verdeckten Anrufes. Damit können die Cyber-Kriminellen einen kurzen Anruf tätigen, um das Gerät aus dem Stand-by-Modus aufzuwecken. Anschließend wird der Bildschirm wieder gesperrt, um zu vermeiden, dass der Benutzer Verdacht schöpft.
Android.Titan.1 ist in der Lage, alle eingehenden Kurznachrichten auf dem Verwaltungsserver zu überwachen und diejenigen zu verstecken, die beim User den Verdacht erwecken, Opfer von Cyber-Kriminellen zu sein. Wenn das Versenden von Daten zu einem Zeitpunkt nicht möglich ist, werden sie lokal gespeichert. Bei einer aktiven Internetverbindung werden sie in die Warteschlange zum Versenden gestellt.

Darüber hinaus verfügt Android.Titan.1 über eine weitere Funktion: Jede Minute prüft er, ob der Benutzer einen Anruf getätigt hat. Gesprächsmitschnitte werden dann in einer .amr-Datei gespeichert. Diese wird bei vorhandener Internetverbindung auf einen Remote-Server hochgeladen. Wenn es keine Internetverbindung gibt, wird diese in die Warteschlange gestellt. Auf diese Weise kann der Schädling ein- und ausgehende Anrufe von bestimmten Telefonnummern sperren, Anrufe annehmen und Daten aus dem Systemprotokoll löschen.

Die Besonderheit des Trojaners liegt darin, dass seine Funktion als Unix-Bibliothek (als Android.Titan.2 bezeichnet) entwickelt wurde, denn die meisten böswilligen Anwendungen für Android verfügen über eine .dex-Datei. Beim Android.Titan.1 wird jedoch die .dex-Datei nur als Hilfskomponente verwendet, was beim Erstellen von Android-Trojanern eher selten anzutreffen ist. Daher können einige Antivirenprogramme diese Art von Malware nicht erkennen.

Die Sicherheitsanalysten von Doctor Web sind der Meinung, dass Android.Titan.1 immer noch in der Entwicklung ist, weil mehrere Fehler vorhanden sind und einige Funktionen noch ungenutzt sind. Deshalb ist davon auszugehen, dass der Schädling auf jeden Fall wieder auftaucht.

Die Sicherheitsanalysten von Doctor Web haben den technischen Support des Cloud-Services, in dem sich der Schädling eingenistet hat, informiert. Die Webseite, von der der Trojaner vor kurzem noch heruntergeladen werden konnte, ist nicht mehr online. Allerdings können die Cyber-Kriminellen den Schädling immer noch auf einer anderen Webseite platzieren.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben