Spam Botnet "Lethic" immer noch aktiv

Android Trojaner "Foncy" verschickt SMS-Nachrichten an teure Nummern

(19.01.12) - Leghic wurde bereits 2008 entdeckt, als es in erster Linie zur Verteilung von Arzneimittel-Spam genutzt wurde. Das Botnet steigerte die Leistung, bis es mutmaßlich für 8 bis 10 Prozent des weltweit generierten Spams verantwortlich war. Anfang 2010 wurde Leghic gravierend geschädigt, als Neustar-Mitarbeiter mehrere Internet Service Provider kontaktierten, um die Steuerung und Kontrolle des Botnet lahmzulegen. Diese Zusammenarbeit reduzierte erfolgreich die Leistung des Botnets. Im Februar des gleichen Jahres schafften es die Besitzer jedoch, dieses wieder unter ihre Kontrolle zu bekommen, so dass es im April bereits wieder täglich ungefähr zwei Milliarden Spam-E-Mails verschickte. Dies entsprach ca. 1,5 Prozent des weltweiten Spam.

"Lethic ist ein Botnet, das bei der Steuerung- und Kontroll-Kommunikation der infizierten Computer Verschlüsselungen nutzt. Zusätzlich nutzt Lethic die infizierten Hosts als Proxies, die neue Spam-Wege ermitteln sollen", erklärt Derek Manky, Senior Security Stratege bei Fortinet. "Der dynamische Ansatz des Botnet half ihm, so lange zu überleben, trotz mehrerer Versuche, es abzuschalten. Es gibt viele unterschiedliche Arten, wie ein Botnet entwickelt sein kann. Für eine komplette Abschaltung muss die Struktur des spezifischen Botnet verstanden werden. Sogar nach einer scheinbar erfolgreichen Abschaltung, wie bei Leghic, können neue Variationen auftauchen, aus denen das Botnet wieder hervor wachsen kann."

Foncy Android Malware erstmals in Frankreich

Der neu entdeckte Android Trojaner namens "Foncy", der durch die Europäischen Fortinet Labs analysiert wurde, verbreitet sich momentan in Frankreich. Der Trojaner ist ein so genannter "Dialer", das heißt, er verschickt SMS-Nachrichten an teure Nummern ohne Zustimmung des Nutzers.

"Ahnungslose Endnutzer haben bösartige Applikationen auf ihren mobilen Geräten installiert, in dem Glauben, dass es sich dabei um die seriöse Plan-Tracking Applikation 'SuiConFo' (SUIvi CONsommation FOrfait)", erklärt Axelle Apvrille, Senior Mobile Antivirus Researcher bei Fortinet. "Wenn ein Nutzer die Malware installiert, erscheint ein SuiCoFo Icon im Menu. Wenn man darauf klickt erscheint eine Fehlermeldung: 'Fehler: Android Version nicht kompatibel'. Währenddessen verschickt der Trojaner heimlich im Hintergrund vier SMS-Nachrichten an Nummern. Dies kann den Nutzer bis zu 18 Euro kosten." (Fortinet: ma)