Android-Trojaner kommt per Spam

Laut Angaben von SecureWorkswird der multifunktionale Trojaner Stels, der unter der Plattform Android läuft, aktuell zusammen mit einer р2р-Modifikation von ZeuS verbreitet, und zwar im Rahmen einer einzigen Spam-Kampagne unter Nutzung des Botnetzes Cutwail.

Die von den Experten entdeckten schädlichen Mails sind als Benachrichtigungen der amerikanischen Steuerbehörde IRS getarnt und zeitlich auf den Zeitraum vor Ablauf der Abgabefrist für die Steuererklärungen in Amerika abgestimmt. Im Namen dieses Organs informieren die Cyberkriminellen den Empfänger über Fehler, die angeblich im von ihm eingereichten Dokument gefunden wurden. Er wird daraufhin aufgefordert, auf einen Link zu klicken, um ein anderes Formular zu verwenden.

Mit einem Klick auf den entsprechenden Link landet der Anwender auf einer gehackten Ressource, die zunächst die Betriebssystemversion des Besuchers und den von ihm verwendeten Browser bestimmt. Wird die Website von einem mobilen Gerät unter Google Android besucht, so wird dem Anwender eine Seite mit der Aufforderung angezeigt, den Flash Player zu aktualisieren, damit der Inhalt korrekt dargestellt werden kann. Als Update getarnt wird sodann die ausführbare Datei flashplayer.android.update.apk auf das Smartphone geladen, die den Trojaner Stels enthält. Für die Installation ist die Erlaubnis des Anwenders erforderlich, und da das Programm nicht von der offiziellen Site von Google Play geladen wird, muss das Opfer darüber hinaus die Option „Unknown Sources“ in den Sicherheitseinstellungen anklicken, d.h. die Installation einer Anwendung aus einer Drittquelle zulassen.

Verwendet der Empfänger des gefälschten Schreibens Microsoft IE, Mozilla Firefox oder Opera, so wird ihm nach einem Klick auf den Spammer-Link eine gefälschte Seite von IRS mit einem schädlichen iframe angezeigt, das den Browser auf die Exploit-Plattform Blackhole umleitet. Außerdem starten alle Links auf dieser Seite eine schädliche pdf-Datei, die die Sicherheitslücke CVE-2010-0188im Adobe Reader/Acrobat angreift. Bei erfolgreicher Ausnutzung der Sicherheitslücke wird eine р2р-Version von ZeuS auf den Rechner des Opfers geladen, die auch als Gameover bekannt ist. Verwendet der Besucher weder Android noch die oben genannten Browser, so wird er auf eine betrügerische Website mit Stellenangeboten umgeleitet.

Die Spezialisten von SecureWorks haben Samples von Stels analysiert und festgestellt, dass dieser Android-Trojaner in der Lage ist, Informationen aus der Kontaktliste des Opfers zu stehlen, SMS zu versenden und abzufangen, Anrufe an Premium-Nummern durchzuführen und zudem andere Schaddateien zu laden und auszuführen. Der Schädling läuft im Hintergrundmodus, kommuniziert mit dem Steuerungszentrum via HTTP und kann allem Anschein nach auch E-Mail-Spam versenden, wobei er den anonymen Proxy-Service anonymouse.org nutzt. Die Experten entdeckten auch andere SMS-Abfänger, deren Code dem von Stels ähnelt, und nehmen an, dass sie alle aus ein und derselben Quelle stammen oder auf der Grundlage ein und desselben Toolkits entwickelt wurden.

Bleibt noch anzumerken, dass hier ein für Android-Schädlinge recht ungewöhnlicher Verbreitungsmechanismus vorliegt, das sie in der Regel von den Opfern aus nicht offiziellen App-Stores geladen werden. So wurden frühere Stels-Varianten, die die Experten von F-Secure Ende letzten Jahres entdeckt haben, über das Webportal spaces.ru verbreitet, wo sie als kostenlose Spiele oder Hilfssoftware für Android getarnt waren.

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.