Vidro: Wie tief ist der Kaninchenbau?

Das Erscheinen einer neuen Familie von Android-Malware ist heutzutage nicht wirklich überraschend. Besonders wenn es um SMS-Trojaner geht – einer der beliebtesten Bedrohungstypen, die geschaffen wurden, um dem Nutzer das Geld aus der Tasche zu ziehen. Vor einigen Tagen erschien eine neue Familie von SMS-Trojanern mit dem Namen Vidro auf der Bildfläche, aber wir haben bereits eine Menge APK-Dateien mit sehr ähnlicher Funktionalität gesammelt. Aktuell richten sich alle Samples, die wir gefunden haben gegen User in Polen.

Verbreitung

Trojan-SMS.AndroidOS.Vidro verbreitet sich über Pornowebsites. Der Mechanismus ist der Verbreitungsmethode der allerersten Malware für Android (Trojan-SMS.AndroidOS.FakePlayer) überaus ähnlich. Besucht der Anwender eine Pornowebsite mit einem Desktop-Browser, so sieht er etwas in der Art von dem Folgenden:

207319885

Doch besucht ein potentielles Opfer dieselbe Website mit einem Android-Gerät, so wird die Website für das Smartphone eigens “optimiert”:

207319886

Nachdem der User den Button ‘Watch Now’ angeklickt hat, wird er zu einer Website mit der Bezeichnung ‘Vid4Droid’ (vid4droid.com) umgeleitet, die dem Opfer suggeriert, es würde die App ‘The new Sexvideo App’ heruntergeladen:

207319887

Mit einem Klick auf den ‘Install’-Button wird das Opfer auf eine Seite mit einem automatischen Download-Start umgeleitet, die Anweisungen enthält ‘die-super-porno-app-richtig-zu-installieren’ mit einer Erinnerung daran, die Installation einer Applikation von einer unbekannten Quelle zu erlauben:

207319888

Vidro-Beschreibung

Nach der Installation von Vidro findet sich das folgende Icon im Hauptmenü:

207319889

Startet das Opfer die Malware, so wird ihm als erstes ein Dialogfenster angezeigt, in dem er aufgefordert wird, den AGB zuzustimmen.

207319890

Doch der “Witz” daran ist, dass es in der App weder Endnutzer-Lizenzvereinbarungen noch AGB gibt. Mit anderen Worten – selbst wenn diese Bedingungen existieren würden, gäbe es keine Möglichkeit, sie einzusehen. Nach einem Klick auf ‘Yes’ wird eine SMS an eine Premium-Nummer versendet. Die Premium-Nummer ist 72908 (polnisch) und der SMS-Text lautet PAY {einmalige Sequenz von Ziffern und Buchstaben}. Jede Kurzmitteilung kostet 2 zl (0,5 Euro). Auf den Text der SMS werden wir später noch zu sprechen kommen. Die Nachrichten werden in einem 24-Stunden-Rhythmus versendet. Alle für das Versenden der teuren SMS notwendigen Daten sind in der Konfigurationsdatei ‘setting.json’ gespeichert.

Vidro ist zudem in der Lage, eingehende SMS von speziellen Nummern zu verbergen. Eine derartige Funktionalität konnten wir bereits bei Trojanern wie Foncy und Mania beobachten.

Neben dem Versenden von kostenintensiven SMS ist Vidro auch zu Folgendem in der Lage:

  • Aktualisieren der Konfigurationsdatei (die eine neue Premium-Nummer und einen neuen SMS-Text enthalten kann) und Aktualisieren seiner selbst. Um sich mit einem entfernten Server zu verbinden, verwendet die Malware ihren eigenen User-Agent-String: “Mozilla/5.0 (Linux; U; {app_id}; {android_version}; de-ch; Vid4Droid) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30”.
  • Upload von Informationen über sich selbst und das infizierte Gerät auf einen entfernten Server.

Content Provider und angeschlossenes Netzwerk

Googelt man die Premium-Nummer von Vidro, ‘72908’, so stößt man unter Umständen auf ein polnisches Forum, wo sich Nutzer über diese Nummer beschweren.

207319891

Grobe Übersetzung:

„Wie kann man ‚carmunity‘ von der Nummer 72908 entfernen? Bitte um Hilfe.“

„Es ist wahrscheinlich irgendeine Art von Virus, diese SMS geht vom Telefon ab, Du solltest sie besser bei Deinem GSM-Provider sperren, sowohl die aus- als auch die eingehenden.“

„Ich möchte sie sperren.“

Schauen wir uns die schädliche Domain vid4droid.com einmal genauer an. Laut Robtex wird diese Domain von zwei Namensservern bei carmunity.de kontrolliert; und der Mail-Server vid4droid.com wird bei tecmedia.eu bearbeitet.

207319892

Es gibt einige Hosts (wie etwa ‘sex-goes-mobile.biz’, ‘sexgoesmobile.biz’, ‘sexgoesmobil.com’ und ähnliche), die sowohl Namensserver und Mailserver mit dieser Domain teilen. Und besucht man einen dieser Hosts, so wird man auf die Website sexgoesmobile.com umgeleitet.

Carmunity

Carmunity ist ein deutscher Content- und Service-Provider, dessen “Produktportfolio eine Vielzahl an kreativen und technischen Lösungen anbietet, die Unternehmen die Erstellung und Bewerbung eigener Portale im mobilen Internet ermöglichen“.

207319893

Homepage von Carmunity

Die Kontaktdaten enthalten die physikalische Adresse des Unternehmens. Demzufolge befindet sich Carmunity in Bremen, Mary-Astell-Str. 2. Gibt man diese Adresse bei Google ein, so stößt man auf eine andere deutsche Firma mit dem Namen Displayboy unter derselben Adresse. Was wissen wir über diese Organisation? Hier einige Zitate von der Website displayboy.com (es existiert keine deutsche Version, nur english):

„Welcome to DisplayBoy – the leading provider for adult affiliate marketing in the mobile Internet.“

(“Willkommen bei DisplayBoy – der Führende Anbieter von Affiliate Marketing mit „erwachsenem Content“ im mobilen Internet.!

„Right now, between 5%-10% adult website users are surfing sites with mobile phones. With Displayboy you can convert your existing mobile traffic in a snap. It’s easy, simple and reliable.“

(„Derzeit besuchen 5-10% der Nutzer von „erwachsenen Websites“ diese via Smartphones. Mit DisplayBoy können sie ihren bestehenden mobilen Traffic mit einem Fingerschnippen konvertieren. Problemlos, bequem und zuverlässig.“)

207319894

Haben Carmunity und Displayboy irgendetwas gemeinsam? Ich denke schon 🙂 Zumindest sind beide Unternehmen darauf spezialisiert, mobilen Traffic zu Geld zu machen.

SexGoesMobile

Wie bereits erwähnt, verwenden einige Hosts die Namens- und Mail-Server der Domain vid4droid.com. Und versucht man, einen von ihnen zu besuchen, so wird man zu sexgoesmobile.com umgeleitet. Hier ein Auszug der Homepage dieser Website:

207319895

Ja, es ist ein Affiliate Netzwerk, ein Partnerprogramm, mit dem Ziel ‚erwachsenen‘, mobilen Traffic zu Geld zu machen. Und es gibt einige merkwürdige Besonderheiten. Schauen wir uns einmal genauer an, was hier vor sich geht.
Viele mobile Partnerprogramme (zumindest russische) bieten allen Teilnehmern uneingeschränkten Zugriff auf so genannte ‘Marketingtools’. Das Partnerprogramm SexGoesMobile bietet ebenfalls verschiedene ‘Marketingtools’. So kann man etwa eine mobile Bezahlseite erstellen, indem man eine der bestehenden Schablonen verwendet:

207319896

Jede Schablone hat ihren eigenen Domain-Namen. Und jeder Teilnehmer des Affiliate Netzwerks SexGoesMobile hat eine eigenen ID. Nach Auswahl der Schablone kann sich der Teilnehmer zudem eine Zielgruppe aussuchen (‘mobile’ oder ‘desktop’):

207319897

Und schließlich ist jeder Partner in der Lage, mit seiner ID eine einmalige URL zu erzeugen:

207319898

Klickt das potentielle Opfer auf diesen einmaligen Link, so wird er auf die Website exgftube.mobi umgeleitet, die gefälschte Video-Thumbnails enthält. Mit einem Klick auf einen dieser Thumbnails wird der Nutzer auf die Website vid4droid.com umgeleitet, wo er aufgefordert wird, die Datei vid4droid.apk herunterzuladen (Trojan-SMS.AndroidOS.Vidro). Erinnern Sie sich an das Format des SMS-Texts in dieser Malware? PAY {einmalige Sequenz von Ziffern und Buchstaben}. Diese einmalige Sequenz von Ziffern und Buchstaben wird auf einem entfernten schädlichen Server auf der Grundlage des Referrers (einer einmaligen URL mit der ID des Affiliate-Partners) generiert. Mit anderen Worten – jeder Teilnehmer am Affiliate-Netzwerk ‘hat’ seinen eigenen SMS-Trojaner mit individuellem SMS-Text.

Fazit

Die Industrie mobiler Malware und der damit verbundenen Services entwickelt sich immer weiter. Vor wenigen Jahren waren mobile Partnerprogramme zumeist russischen Ursprungs. Nun tauchen Affiliate-Netzwerke auch in anderen Ländern auf. Leider sind diese Netze bereits äußerst effektiv – über sie wird problemlos Malware verbreitet und illegal Geld verdient. Diese ‘Migration’ der Affiliate-Netzwerke wird neue Infektionen nach sich ziehen und zu großen Verlusten führen – und zwar nicht nur in Russland, sondern auch in anderen Ländern.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.