Es ist der neue Android – Trojaner Stels, den das Cutwall – Botnetz, das auch schon Bankingtrojaner Zeus verbreitete, verteilt, berichtete heise.de. Stels infiziert Android-Geräte, indem er sich als Adobe-Flash-Player-Update ausgibt.
Auch wer die gefährlichen Spam – Links nicht auf Android anklickt sondern in Desktop – Browsern ist betroffen. Die Opfer werden über eine Browserweiche auf Webseiten umgeleitet auf denen das Blackhole-Exploit-Kit lauert. Wie die experten von Dell untersucht haben erfolgen die Attacken über Spam – Mails die etwa vermeintlich im Namen der Bundessteuerbehörde der USA (Internal Revenue Service, IRS) verschickt werden. Folgt man den Links in den Spam – Mails wird untersucht ob ein Andoid – Gerät genutzt wird. Im Falle der Nutzer surft mit dem Internet Explorer, Mozillas Firefox oder Opera, wird er auf eine Webseite gelenkt, auf dem ein Blackhole-Exploit-Kit lauert, das den Rechner über veraltete Browser – Plug – ins zu infizieren versucht. Bei Android – Geräte Nutzung wird unterstellt, dass der Flash Player nicht aktuell ist. Ein falsches Update wird angeboten. Um das falsche Update zu installieren, muss der Nutzer allerdings erst erlauben, dass Apps aus "unbekannten Quellen" zugelassen werden. Im Falle der Zustimmung wird der Trojaner installiert. Die vermeintliche App gibt nach dem Öffnen an, dass diese fehlgeschlagen sei und nun eine Deinstallation erfolgt. Zwischenzeitlich arbeitet Stels und richtet einen Backdoor ein, die das Nachladen von Schadsoftware ermöglicht. Der Trojaner kann darüber hinaus die Kontaktlisten seiner Opfer ausspähen, kostenpflichtig SMS senden, Telefonanrufe absetzen und SMS etwa nach mTANS filtern. Stels funktioniert ohne Root-Zugriff und versteckt sich kaum. Unter den Einstellungen kann das vermeintliche Flash-Update deshalb bei den "aktiven Apps" aufgespürt und auch deinstalliert werden. Vor dem ersten Start ist auch der Titel der "App" auffällig: unter dem Icon steht dann kurzzeitig "Appname".
