News

Android-Schädling lädt Module im Flug

SecurityWeek berichtet von der Entdeckung eines Android-Trojaners, der das legitime Framework DroidPlugin zur Selbstaktualisierung und zum Verbergen der schädlichen Aktivität benutzt.

Der mobile Schädling, der bei Palo Alto Networks auf den Namen PluginPhantom getauft wurde, ist auf Datendiebstahl spezialisiert und in der Lage, Dateien, die Kontakte des Opfers, Geolokalisationsdaten und Informationen, die mit der WLAN-Nutzung zu tun haben, abzugreifen. Er kann zudem Fotos aufnehmen, Screenshots erstellen, Audioaufnahmen machen, SMS abfangen und versenden und die Tastenbetätigungen aufzeichnen.

PluginPhantom unterscheidet sich dadurch von anderen multifunktionalen Android-Trojanern, dass er DroidPlugin für die Aufteilung der schädlichen Funktionen unter den zahlreichen Plugins nutzt, während sich die Host-App selbst vollkommen harmlos verhält. Das Virtualisierungs-Framework DroidPlugin wurde von dem chinesischen IT-Sicherheitsunternehmen Qihoo 360 entwickelt und ermöglicht es Programmierern laut Bleeping Computer, Android-Programme zu entwickeln, die Plugins in Echtzeit aus lokalen oder entfernten Quellen laden; dabei muss der Nutzer dem Download/der Installation einer solchen APK-Datei nicht eigens zustimmen.

Durch solche Projektlösungen kann ein Programm so leicht wie nur möglich gemacht werden, zahlreiche Accounts werden unterstützt, was gerade für Apps in sozialen Netzwerken von Bedeutung ist, und es können „dringende Patches“ in Echtzeit ohne Beteiligung vom Google Play Store verbreitet werden. Doch mit einem Schädling, der sich die Möglichkeiten von DroidPlugin zunutze macht, haben es die Forscher zum ersten Mal zu tun und sie weisen darauf hin, dass diese Neueinführung die statische Erkennung wesentlich erschwert.

Aktuell operiert PluginPhantom mit neun Plugins, die als Ersatzdateien in die Host-App integriert sind. Drei von ihnen führen Basisoperationen durch, wie etwa die Kommunikation mit dem C&C, Updates, Ausgabe der gestohlenen Daten, Befehlsweitergabe an andere schädliche Module. Die übrigen Plugins führen Funktionen aus, die nicht direkt mit dem Diebstahl von Daten in Verbindung stehen:

  • die Suche nach Dateien und die Systematisierung nach verschiedenen Parametern;
  • Abgreifen von Daten über den Standort des mobilen Geräts;
  • Diebstahl der Anrufliste, der Geräte-ID, der Kontaktinformationen, Abfangen von SMS und Anrufen von vordefinierten Nummern;
  • Aufnehmen von Fotos mit der eingebauten Kamera und Erhalt von Screenshots;
  • Aufzeichnung der Hintergrundgeräusche und aller eingehenden Anrufe auf Befehl;
  • Diebstahl der WLAN-Informationen (SSID, Passwort, IP-Adresse, MAC), der Systemdaten, Diebstahl von Informationen über installierte Apps.

Die Forscher wiesen zudem darauf hin, dass die Host-App selbst Keylogger-Funktionen ausführen kann, indem sie sich spezielle Möglichkeiten von Android (Accessibility) zunutze macht. Doch dazu benötigt sie Zugriffsrechte, die beim Nutzer angefragt werden müssen – angeblich für irgendeinen Service zum Säubern des Speichers.

In einem Kommentar erklärten die Experten von SecurityWeek, dass sie keinerlei Grund zu der Annahme haben, dass PluginPhantom in Google Play eingedrungen ist, allerdings verfügen sie über keinerlei Informationen darüber, wie sich der Schädling verbreitet. Es ist bisher auch nicht gelungen, das Zielspektrum von PluginPhantom zu definieren, doch die von PluginPhantom zusammengetragenen Geolokalisationsdaten werden mit den Koordinatensystemen in Verbindung gebracht, die die Online-Kartendienste Baidu Maps und Amap Maps verwenden, welche in China äußerst populär sind.

In ihrem Fazit warnen die Experten von Palo Alto, dass andere Malware-Entwickler dem Beispiel der Autoren des neuen Android-Schädlings folgen könnten und sich DroidPlugin massenhaft als Verbergungsmethode etablieren und damit die derzeit populären Repacks verdrängen könnte. „Da das Entwicklungsschema von Plugins allgemeinen Charakter trägt und das entsprechende SDK problemlos zu integrieren ist, könnten Android-Schädlinge mit erweiterter Architektur sich zu einem Trend entwickeln“, zitiert der Reporter von SecurityWeek die Forscher.

Quelle: Securityweek

Android-Schädling lädt Module im Flug

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach