Kaspersky warnt

"Bislang komplexester" Android-Schädling entdeckt

(Bild: AP)

Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminellen Gruppierungen kontrolliert werden. Das berichtete der Sicherheitsanbieter Kapersky am Donnerstag. Die Experten konnten während der vergangenen drei Monate beobachten, wie "der bisher komplexeste mobile Android-Schädling" verbreitet wird.

Der Trojaner namens "Obad.a" komme wohl hauptsächlich in den GUS-Staaten vor, so Kapersky. Insgesamt wurden 83 Prozent der Infektionsversuche in Russland verzeichnet. Darüber hinaus wurde er auf mobilen Endgeräten in der Ukraine, Weißrussland, Usbekistan und Kasachstan entdeckt. Auffällig sei die gleichzeitige Verbreitung von verschiedenen Versionen, die über den Trojaner "SMS.AndroidOS.Opfake.a" verteilt werden.

Diese doppelte Art der Infektion beginne mit einer SMS-Nachricht an die Nutzer, in der diese aufgefordert würden, dem Link einer kürzlich empfangenen Nachricht zu folgen. Wenn das Opfer auf den betreffenden Link klicke, werde eine Datei mit "Opfake.a" automatisch auf das betreffende Smartphone oder Tablet heruntergeladen.

Die schädliche Datei könne nur installiert werden, wenn der Nutzer diese auch starte, betonte Kapersky. In diesem Fall sende der Trojaner weitere Textnachrichten an die Kontakte des infizierten Gerätes. Ein russischer Mobilfunkanbieter meldete Kaspersky nach innerhalb von nur fünf Stunden mehr als 600 Nachrichten mit diesem Link.

Verbreitung auch über Spam und gefälschte Apps
Abgesehen von der Verwendung mobiler Botnetze werde dieser komplexe Trojaner auch über Spam-Nachrichten verbreitet. Typischerweise erscheine eine Warnmeldung, die den Nutzern eine unbezahlte Forderung vortäusche und sie auffordere, einen Link aufzurufen, der "Obad.a" automatisch auf das mobile Endgerät herunterlade. Auch in diesem Fall müssten die Nutzer die heruntergeladene Datei starten, damit der Trojaner installiert werde. Websites, die gefälschte Apps anbieten, dienten ebenfalls zur Verbreitung. Laut Kapersky gibt es auch Fälle, in denen offizielle Seiten gecrackt werden und auf gefährliche Websites verlinken.

Schädling hat es nur auf Android abgesehen
"Obad.a" ziele ausschließlich auf die Nutzer von mobilen Endgeräten ab. Wenn potenzielle Opfer die entsprechende Seite von einem Desktop-PC aus aufriefen, passiere nichts. Jedoch könnten Smartphones und Tablet-PCs jedes Betriebssystems zu den Fake-Seiten geleitet werden, obwohl nur eine Gefahr für Android-Nutzer bestehe, warnte das Unternehmen.

Ähnlich komplex wie moderne PC-Schadsoftware
"In drei Monaten haben wir zwölf verschiedene Versionen von 'Backdoor.AndroidOS.Obad.a' entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält. Das macht es um einiges schwerer, den Schädling zu löschen", schildert Kaspersky-Virenexperte Christian Funk.

Sofort nach der Entdeckung habe man Google darüber informiert, worauf die Lücke in Android 4.3 geschlossen worden sei. "Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet. 'Obad.a' (...) erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC-Schadsoftware. Ein Trend, den wir in der Android-Welt seit Längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat."