Ereignisse

Neue Bedrohung: Trojan-SMS.AndroidOS.Stealer.a

Das Gesamtbild der Infektionsversuche durch mobile Malware ändert sich ständig, und auf eine der jüngsten Tendenzen auf diesem Gebiet möchte ich an dieser Stelle näher eingehen. Innerhalb des letzten Jahres setzte sich der mobile Trojaner Trojan-SMS.AndroidOS.Stealer.a nach Anzahl der Versuche, unsere Anwender zu infizieren, an die Spitze, und belegt stabil den ersten Platz im Rating der aktuellen Bedrohungen. So entfielen im ersten Quartal 2014 etwas weniger als ein Viertel aller registrierten Attacken auf diesen Schädling.

Geografie

Der Grund dafür ist nicht nur die Nachdrücklichkeit, mit der Cyberkriminelle ihn in Russland verbreiten, sondern es sind auch die nicht abreißenden Versuche, Anwender in Europa und Asien anzugreifen. Fälle von Infektionen mit diesem SMS-Trojaner werden überall registriert:

Es gibt noch einen weiteren Faktor, der davon zeugt, dass der Trojaner sich gegen Anwender aus verschiedenen Ländern der Welt richtet. Die Rede ist von seiner Konfigurationsdatei. Denn der Trojaner kann feststellen, in welcher Region er gestartet wird, und ändert dementsprechend den Inhalt der SMS und den Adressaten. Zum gegenwärtigen Zeitpunkt umfasst das „Arbeitsgebiet“ von Trojan-SMS.AndroidOS.Stealer.a die folgenden Länder:

  • Belgien
  • Frankreich
  • Litauen
  • Lettland
  • Russland
  • Ukraine
  • Weißrussland
  • Moldawien
  • Deutschland
  • Armenien
  • Abchasien
  • Aserbaidschan
  • Kasachstan
  • Kirgisien

Funktionalität

Besonders ungewöhnlich ist Trojan-SMS.AndroidOS.Stealer.a nicht, er verbreitet sich getarnt als legitime Anwendung und setzt eine für SMS-Trojaner durchaus übliche Auswahl an Funktionen ein.

  • Stealer kann von einem C&C die folgenden Befehle empfangen und ausführen:
    • server –C&C wechseln
    • sms – eine SMS mit in der Konfigurationsdatei vorgegebenen Daten abschicken.
    • delete – eingehende Mitteilungen, die den Masken entsprechen, in vorgegebenen Intervallen löschen
    • update – Trojaner aktualisieren
    • removeAllSmsFilters – SMS-Filter löschen
    • sendInfo – Daten über das Telefon senden
    • sendPackagesList – Liste der Anwendungen senden
    • sendConfig – laufende Einstellungen senden
    • uninstall – ausgewählte Anwendung löschen
    • notification – Mitteilung im Bereich Benachrichtigungen zeigen
    • inbox_sms_remote_log – Abfangen der Mitteilungen aktivieren
  • Die Steuerung des Trojaners erfolgt über HTTP, dabei werden zwei verschiedene Steuerungszentren genutzt, von denen eins die Aufgaben stellt und das andere die Ergebnisse empfängt.
  • Für die Verschlüsselung der Daten benutzt Stealer ein modifiziertes BASE64 und GZip.

In sich selbst verwahrt der Schädling eine chiffrierte Konfigurationsdatei in Form eines JS-Skripts. In Abhängigkeit vom Inhalt der Datei kann der Trojaner sofort nach dem Laden und dem Start die folgenden Aktionen ausführen:

  • openUrl – Webseite öffnen (URL)
  • getLat, getLng – Koordinaten des Geräts empfangen
  • setInboxSmsFilter – Maske zum Blockieren von SMS erstellen
  • disableInboxSmsFilter – Maske zum Blockieren von SMS verwerfen
  • doPayment – SMS versenden – mit Nummer und Mitteilungstext aus der Konfigurationsdatei.
  • installApp – Anwendung installieren
  • enableDebug – Debugging-Informationen aktivieren
  • disableDebug – Debugging-Informationen deaktivieren
  • log – Aufzeichnung in logcat aktivieren
  • minimize – Anwendung, die als Tarnung für den Trojaner dient, minimieren (im Hintergrundmodus)
  • exit – Anwendung schließen
  • startHider – Anwendung verbergen
  • stopHider – Anwendung wiederherstellen
  • enableAOS – Modus zum Verbergen von Bestätigungs-SMS aktivieren
  • addShortcut – Shortcut auf den Trojaner einem Desktop des Betriebssystems hinzufügen
  • isAirplaneModeOn – überprüfen, ob Flugmodus aktiviert ist
  • isPackageExists – überprüfen, ob es im System eine der Maske entsprechende Anwendung gibt
  • sS – SMS mit vorgegebener Nummer und Präfix versenden
  • sDS –SMS mit Verzögerung versenden

So können die Virenschreiber das Verhalten des Trojaners verändern, indem sie den Inhalt der Konfigurationsdatei ändern.

Es ist erstaunlich, dass die Entwickler des Trojaners noch immer ein Schema benutzen, bei dem die Konfiguration von Trojan-SMS.AndroidOS.Stealer.a zusammen mit dem Schädling selbst verbreitet wird, während ein großer Teil der Schädlinge schon ausschließlich online gesteuert wird. Ein solcher Ansatz garantiert allerdings das Funktionieren von Stealer auch in dem Fall, wenn keine Verbindung zum Internet besteht.

Wir prognostizieren eine weitere Zunahme der Infektionsversuche mit Trojan-SMS.AndroidOS.Stealer.a. Höchstwahrscheinlich werden die Virenschreiber die Konfigurationsdatei weitestgehend minimieren und den Trojaner ausschließlich online steuern und seine Funktionalität dabei erhalten.

Neue Bedrohung: Trojan-SMS.AndroidOS.Stealer.a

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach