Android-TrojanerDie Experten von Lookout machen aktuell eine gefährliche Beobachtung im Bereich der Android-Malware. In einer Untersuchen wurden in Third-Party-App-Stores mindestens 20.000 Apps gefunden die Trojaner enthalten. Dabei wird ein Verhalten genutzt, dass man sonst nur von Adware kannte.
Dabei werden erfolgreiche Apps aus dem Original-Store einfach von Kriminellen kopiert und mit Schadcode angereichert, anschließend wieder in einem Third-Party-Store hochgeladen. Darunter befinden sich durchaus bekannte Anwendungen wie:

  • Candy Crush,
  • Facebook,
  • Google Now,
  • Snapchat,
  • Twitter und
  • WhatsApp.

Bildschirmfoto 2015-10-22 um 10.20.19
Auch auf Unternehmen haben es diese Trojaner abgesehen, so befindet sich unter den mit Schadcode infizierten Anwendungen die Enterprise 2-Faktor-Authorisierungs-Software von Okta. Über diese App gibt es die heikelsten Zugangsdaten zu holen.
Im Gegensatz zu Adware, die einfach nur Werbeeinblendungen enthält und damit sehr nervig ist, sind die Anwendungen mit Trojanern richtig gefährlich. Die lesen nämlich Zugangsdaten mit, die Ihr auf Eurem Gerät verwendet und senden diese dann direkt an Ihren Command&Control-Server. Anders als Ihre Adware-Verwandten sind diese Anwendungen dabei nicht auffällig. Es werden keine Pop-Ups angezeigt und auch die eigentliche Anwendung ist nicht mit Werbung zugekleistert. Der Trojaner arbeitet leise und unbemerkt im Hintergrund. Dabei geht Lockout sogar davon aus, dass die Anwendung, die der Nutzer eigentlich haben wollte (Zum Beispiel Facebook) sogar normal und im vollen Umfang funktioniert.

Kann ich die Anwendung dann einfach deinstallieren?

Das ist ähnlich wie bei dem vor kurzem entdeckten mobilen BKA-Trojaner sehr schwer. Bei der Installation rooten die Android-Trojaner das Android Gerät und nisten sich dann ganz tief im Gerät als Systemanwendung ein. Diese Art der Installation sorgt dafür, dass nicht mal das Zurücksetzten auf die Werkseinstellungen hilft, um den Trojaner wieder los zu werden. Den meisten Benutzern bleiben damit nur noch die Möglichkeiten einen Experten aufzusuchen oder aber gleich ein neues Smartphone zu kaufen.
Lockout macht für die 20.000 infizierten Apps vor allem 3 Familien von Malware verantwortlich:

  • Shuanet
  • Kemoge oder auch ShiftyBug
  • Shedun

Bildschirmfoto 2015-10-22 um 10.20.19

Wie wurden die 20.000 trojanisierte Anwendungen erstellt?

Die Infizierung der Anwendungen wurden laut Lockout wohl automatisiert. So werden einfach die erfolgreichsten Anwendungen aus dem Original-Store heruntergeladen, der Trojaner dazugepackt und das neue Paket dann automatisiert bei Third-Pary-Stores wieder hochgeladen. So kommen die Kriminellen möglichst effizient auf einen möglichst hohen Verbreitungsgrad. Interessant ist noch, dass Anti-Viren-Software dabei wohl ausgeschlossen wurde.

Nach Auswertung der Command&Control-Server, gehört Deutschland zu den Top-10 der Länder mit den meisten Infizierten Geräten im mobilen Sektor.

Lockout geht davon aus, dass diese Art der Trojaner für Android-Geräte in Zukunft noch viel öfter zu finden sein wird. Vor allem wegen der hohen Effizient und oftmals unentdeckt bleiben. Und natürlich ist auch die Malware für mobile Geräte immer noch nicht so in den Köpfen der Menschen wie es Ihre Verwandten auf Windows-Systemen sind, dabei sind wir gerade bei Android bereits auf einem ähnlichen Niveau angekommen.

Was kann man tun?

Wenn man den Trojaner noch nicht auf dem Gerät hat, dann empfehlen wir dringend keine Third-Party-Anwendungen auf dem Gerät zu installieren. In entsprechenden App-Stores können Anwendungen oft ohne jegliche Kontrolle hochgeladen werden. Aber auch Anwendungen direkt von einer Webseite sollten nicht installiert werden.

Installieren Sie Apps nur aus seriösen Quellen. Zur Sicherheit deaktivieren Sie auf dem Android das Laden von Apps aus Unbekannten Quellen”

Wenn man den Trojaner bereits hat, dann bleibt einem nach unserem aktuellen Wissensstand nichts anderes übrig als zu einem Experten zu gehen, oder eben gleich ein neues Gerät zu kaufen. Wir empfehlen dazu Android-Geräte bei denen die Update-Zyklen möglichst kurz sind, wie zum Beispiel bei den Google eigenen Nexus-Geräten.
Ob sich der Trojaner durch das Flashen eines Original-Roms wieder entfernen lässt haben wir bereits bei Lookout nachgefragt. Da wir selbst leider keine Samples zu einem dieser Trojaner haben konnten wir das Verfahren leider nicht selbst testen.
Im Umgang mit Apps empfehlen wir euch folgendes:

Play-Store

Play-Store

  • Verzichtet komplett auf App-Downloads von unbekannten Quellen.
  • Achtet darauf wer der Hersteller eine Anwendung ist. Diese Information wird euch im App-Store angezeigt.
  • Auch die Angaben der Download- und Bewertungszahlen kann Aufschluss darüber geben, ob es sich hierbei um die Original-Anwendung handelt.
  • Schaut euch die Kommentare an zu den Bewertungen an.
  • Schaut auf das alter der Applikation. Facebook Beispielsweise wird es wahrscheinlich nicht erst, seit diesem Monat im App-Store geben.
  • Schaut genau nach welche Berechtigungen eine App haben möchte und überlegt ob diese für die Applikation wirklich notwendig sind.

Generell solltet Ihr Euer Android-Gerät schützen:

  • Haltet Eure Firmware immer aktuell.
  • Installiert auch auf eurem Smartphone immer eine Anti-Viren-Software.
  • Installiert Apps nur aus seriösen Quellen, zur Sicherheit deaktivieren Sie das Laden von Apps aus Unbekannten Quellen”
  • Sei misstrauisch bei unbekannten E-Mails/ SMS mit eingebetten Links bzw. mit dubiosen Anhängen.
  • Achten Sie beim Kauf von Android-Smartphones auf die Aktualität des Betriebssystems. Hierzu empfehlen wir vor allem die Google Nexus-Geräte.