Bösartige QR-Codes verbreiten Android-Malware

Laut der Definition auf Wikipedia bezeichnet der Begriff QR-Code einen speziellen Matrix-Strichcode-Typ (oder einen zweidimensionalen Code), der ursprünglich für die Automotive-Industrie entwickelt worden war. Gegenwärtig erfahren QR-Codes eine immer größere Popularität und werden auf Werbeplakaten, in Zeitschriften, im Transportwesen sowie in Badges verwendet, um einen einfachen und schnellen Zugriff auf ganz bestimmte Informationen zu ermöglichen. Ein QR-Code verfügt über eine ziemlich hohe Speicherkapazität (verglichen mit einem einfachen Strichcode) und kann bis zu 7089 Dezimalziffern oder 4296 alphanumerische Zeichen speichern – und dies ist mehr als ausreichend, um Text oder eine Webadresse zu speichern.

Aber was ist mit bösartigen QR-Codes? Ja, ein QR-Code kann nämlich auch mit einem Smartphone gescannt werden, und der User wird dann zu einer URL mit einer schädlichen Datei (APK oder JAR) weitergeleitet. Solche QR-Codes sind bereits im Umlauf, und ihr Verbreitungsgrad nimmt unaufhaltsam zu.

Nutzer von Smartphones suchen heutzutage häufig auf ihrem Desktop-PC nach neuer Software für ihr mobiles Gerät. Findet der Nutzer etwas Interessantes, so muss er die URL der Anwendung in der Browser-Zeile des Smartphones eintippen, um sie herunterladen zu können. Da dieses Abtippen nicht sonderlich bequem ist, enthalten solche Websites häufig QR-Codes, die sich einfach scannen lassen.

Es ist bekannt, dass derzeit eine Menge mobiler Malware (vor allem SMS-Trojaner) über maliziöse Websites, die ausschließlich schädliche Software enthalten, verbreitet wird. Und die Cyberkriminellen haben auch damit begonnen, bösartige QR-Codes aus Gründen der ‚Benutzerfreundlichkeit“ einzusetzen. Unten sehen Sie ein Beispiel für eine derartige Website:

Teil einer Website mit bösartigem QR-Code

Ein interessanter Punkt dabei ist, dass die unscharf zu erkennende URL zwar funktioniert, aber keine ‚jmm.apk’-Datei mit Bezug auf diesen Link existiert. Wenn jedoch ein Nutzer den QR-Code scannt, wird er zu einer anderen URL ohne ‚jmm.apk’-Datei umgeleitet. Diese Datei wurde von uns als Trojan-SMS.AndroidOS.Jifake.f detektiert:

Bei dem Schadcode an sich handelt es sich um eine trojanisierte Jimm-App (mobiler ICQ Client), die zahlreiche SMS-Nachrichten an die Premium-Rate-Nummer 2476 (6US$ pro Anruf) sendet. Nach der Installation erscheint im Menü des Mobiltelefons ein Icon mit der Bezeichnung ‚JimmRussia’.

Trojan-SMS.AndroidOS.Jifake.f

Zudem enthalten andere Websites ebenfalls bösartige QR-Codes mit Links zu diversen J2ME SMS Trojanern:

Weiteres Beispiel für eine Website mit maliziösem QR-Code

Die Verwendung von QR-Codes für die Verbreitung von Schadcode war voraussehbar, und solange diese Technologie so populär ist, wird sie auch von Cyberkriminellen genutzt werden. Diese beiden Beispiele veranschaulichen das ganz frühe Stadium dieser Verwendung, und in der nahen Zukunft schon werden wir viel häufiger über QR-Codes verbreitete mobile Malware beobachten können.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.