Neue Bedrohung: Trojan-SMS.AndroidOS.Stealer.a

Das Gesamtbild der Infektionsversuche durch mobile Malware ändert sich ständig, und auf eine der jüngsten Tendenzen auf diesem Gebiet möchte ich an dieser Stelle näher eingehen. Innerhalb des letzten Jahres setzte sich der mobile Trojaner Trojan-SMS.AndroidOS.Stealer.a nach Anzahl der Versuche, unsere Anwender zu infizieren, an die Spitze, und belegt stabil den ersten Platz im Rating der aktuellen Bedrohungen. So entfielen im ersten Quartal 2014 etwas weniger als ein Viertel aller registrierten Attacken auf diesen Schädling.

Geografie

Der Grund dafür ist nicht nur die Nachdrücklichkeit, mit der Cyberkriminelle ihn in Russland verbreiten, sondern es sind auch die nicht abreißenden Versuche, Anwender in Europa und Asien anzugreifen. Fälle von Infektionen mit diesem SMS-Trojaner werden überall registriert:

Es gibt noch einen weiteren Faktor, der davon zeugt, dass der Trojaner sich gegen Anwender aus verschiedenen Ländern der Welt richtet. Die Rede ist von seiner Konfigurationsdatei. Denn der Trojaner kann feststellen, in welcher Region er gestartet wird, und ändert dementsprechend den Inhalt der SMS und den Adressaten. Zum gegenwärtigen Zeitpunkt umfasst das „Arbeitsgebiet“ von Trojan-SMS.AndroidOS.Stealer.a die folgenden Länder:

  • Belgien
  • Frankreich
  • Litauen
  • Lettland
  • Russland
  • Ukraine
  • Weißrussland
  • Moldawien
  • Deutschland
  • Armenien
  • Abchasien
  • Aserbaidschan
  • Kasachstan
  • Kirgisien

Funktionalität

Besonders ungewöhnlich ist Trojan-SMS.AndroidOS.Stealer.a nicht, er verbreitet sich getarnt als legitime Anwendung und setzt eine für SMS-Trojaner durchaus übliche Auswahl an Funktionen ein.

  • Stealer kann von einem C&C die folgenden Befehle empfangen und ausführen:
    • server –C&C wechseln
    • sms – eine SMS mit in der Konfigurationsdatei vorgegebenen Daten abschicken.
    • delete – eingehende Mitteilungen, die den Masken entsprechen, in vorgegebenen Intervallen löschen
    • update – Trojaner aktualisieren
    • removeAllSmsFilters – SMS-Filter löschen
    • sendInfo – Daten über das Telefon senden
    • sendPackagesList – Liste der Anwendungen senden
    • sendConfig – laufende Einstellungen senden
    • uninstall – ausgewählte Anwendung löschen
    • notification – Mitteilung im Bereich Benachrichtigungen zeigen
    • inbox_sms_remote_log – Abfangen der Mitteilungen aktivieren
  • Die Steuerung des Trojaners erfolgt über HTTP, dabei werden zwei verschiedene Steuerungszentren genutzt, von denen eins die Aufgaben stellt und das andere die Ergebnisse empfängt.
  • Für die Verschlüsselung der Daten benutzt Stealer ein modifiziertes BASE64 und GZip.

In sich selbst verwahrt der Schädling eine chiffrierte Konfigurationsdatei in Form eines JS-Skripts. In Abhängigkeit vom Inhalt der Datei kann der Trojaner sofort nach dem Laden und dem Start die folgenden Aktionen ausführen:

  • openUrl – Webseite öffnen (URL)
  • getLat, getLng – Koordinaten des Geräts empfangen
  • setInboxSmsFilter – Maske zum Blockieren von SMS erstellen
  • disableInboxSmsFilter – Maske zum Blockieren von SMS verwerfen
  • doPayment – SMS versenden – mit Nummer und Mitteilungstext aus der Konfigurationsdatei.
  • installApp – Anwendung installieren
  • enableDebug – Debugging-Informationen aktivieren
  • disableDebug – Debugging-Informationen deaktivieren
  • log – Aufzeichnung in logcat aktivieren
  • minimize – Anwendung, die als Tarnung für den Trojaner dient, minimieren (im Hintergrundmodus)
  • exit – Anwendung schließen
  • startHider – Anwendung verbergen
  • stopHider – Anwendung wiederherstellen
  • enableAOS – Modus zum Verbergen von Bestätigungs-SMS aktivieren
  • addShortcut – Shortcut auf den Trojaner einem Desktop des Betriebssystems hinzufügen
  • isAirplaneModeOn – überprüfen, ob Flugmodus aktiviert ist
  • isPackageExists – überprüfen, ob es im System eine der Maske entsprechende Anwendung gibt
  • sS – SMS mit vorgegebener Nummer und Präfix versenden
  • sDS –SMS mit Verzögerung versenden

So können die Virenschreiber das Verhalten des Trojaners verändern, indem sie den Inhalt der Konfigurationsdatei ändern.

Es ist erstaunlich, dass die Entwickler des Trojaners noch immer ein Schema benutzen, bei dem die Konfiguration von Trojan-SMS.AndroidOS.Stealer.a zusammen mit dem Schädling selbst verbreitet wird, während ein großer Teil der Schädlinge schon ausschließlich online gesteuert wird. Ein solcher Ansatz garantiert allerdings das Funktionieren von Stealer auch in dem Fall, wenn keine Verbindung zum Internet besteht.

Wir prognostizieren eine weitere Zunahme der Infektionsversuche mit Trojan-SMS.AndroidOS.Stealer.a. Höchstwahrscheinlich werden die Virenschreiber die Konfigurationsdatei weitestgehend minimieren und den Trojaner ausschließlich online steuern und seine Funktionalität dabei erhalten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.