- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Schädling fordert Root-Rechte ein





Trend Micro warnt vor Rooting-Malware in unabhängigen Android-App-Stores
Neue Malware lädt bösartige Apps herunter und stiehlt Nutzerdaten

Trend Micro warnt vor einer neuen Schadsoftware, die über unabhängige Android-App-Stores verteilt wird und die infizierten Geräte rootet. Auch wenn es gute Gründe geben mag, Apps aus anderen Quellen als von "Google Play" herunterzuladen, müssen sich die Anwender der damit verbundenen Risiken bewusst sein.

Ihre Zahl ist zwar nicht riesig, aber auch nicht zu vernachlässigen: Anwender mobiler Apps, die nicht nur in Googles offiziellem App-Store stöbern, sondern auch in unabhängigen Online-Läden für Android-Apps. Dafür gibt es mehrere Gründe: So locken einige dieser unabhängigen Plattformen mit speziellen Rabatten, die mit den Entwicklern der Apps ausgehandelt wurden. Manche haben auch Apps im Angebot, bei denen die Sperre für bestimmte Regionen aufgehoben wurde. Und wieder andere sind in einigen Gegenden, vor allem in Asien, schlicht beliebter als der offizielle Google-Store.

Andererseits zeigen die Bedrohungsinformationen, die Trend Micro weltweit sammelt, dass die Sicherheitsmechanismen der unabhängigen App-Stores in der Regel weit weniger strikt bzw. wirksam sind als diejenigen von Google Play. Das bedeutet, dass die Anwender sich aus diesen unabhängigen Plattformen einem höheren Sicherheitsrisiko aussetzen.

Vor wenigen Tagen hat Trend Micro rund 1.200 Varianten eines mobilen Schädlings in vier unabhängigen App-Stores (namentlich "Aptoide", "Mobogenie", "mobile9" und "9apps") entdeckt, der die infizierten Android-Geräte rootet und damit unbegrenzte Rechte erhält. Der Sicherheitsanbieter hat alle diese Plattformen auf das Problem aufmerksam gemacht, doch noch keine Reaktion erhalten.

Doch warum stimmen Anwender der Aufforderung des Schädlings (Trend Micro entdeckt ihn als ANDROIDOS_LIBSKIN.A) zu, ihm die Rechte des so genannten Root-Users zu gewähren? Das Problem ist, dass die Schädlingsvarianten sich als beliebte Apps tarnen, welche die Anwender unbedingt haben wollen. Dass der Wille oft stärker als die Vernunft ist, beweist die Tatsache, dass der Schädling in 163 Ländern der Welt heruntergeladen wurde.

Einmal infiziert, versteckt sich der Schädling im System und lädt weitere Komponenten herunter. Danach blendet er von Zeit zu Zeit Werbung ein, um die Anwender dazu zu bewegen, scheinbar interessante Apps herunterzuladen. Freilich verbergen sich hinter der Werbung weitere Schädlinge. Außerdem ist die Schadsoftware in der Lage, Anwenderdaten vom Gerät zu stehlen und an die kriminellen Hintermänner zu schicken.

Um sich vor dieser und ähnlichen Bedrohungen zu schützen, sollten Anwender eine mobile Sicherheitslösung auf ihren Android-Geräten installieren. Eine weitere Möglichkeit, die Sicherheitsrisiken, die von unabhängigen App-Stores ausgehen, zu senken, besteht darin, direkt auf den Websites der Entwickler der gewünschten Apps einzukaufen. (Trend Micro: ra)



Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Aktuelle Meldungen

  • DoubleLocker nutzt Android-Bedienungshilfen

    Eset warnt aktuell vor einer neuen Bedrohung für Android-Geräte. Der von Eset-Forschern entdeckte Android-Schädling verbreitet sich vorrangig als vermeintlicher "Adobe Flash Player" über infizierte Webseiten. DoubleLocker gilt nach Analyse der Experten als technisch ausgereift und kombiniert cyberkriminelle Taktiken auf neue Weise: Nach erfolgter Infektion verschlüsselt die Ransomware sämtliche Daten im Gerätespeicher und sperrt den Nutzer zusätzlich durch Veränderung der PIN aus. Um das Gerät von der DoubleLocker-Ransomware zu befreien, ist ein Zurücksetzen auf die Werkseinstellungen notwendig. "DoubleLocker nutzt Android-Bedienungshilfen, was ein beliebter Trick unter Cyberkriminellen ist. Die Nutzlast dieser Ransomware kann die PIN des Geräts ändern, sodass das Opfer nicht mehr darauf zugreifen kann und die Daten verschlüsselt werden. Diese Kombination von Tools wurde im Android-Ökosystem noch nicht beobachtet", so LukᚠŠtefanko, Malware Researcher bei Eset und Entdecker von DoubleLocker.

  • Antivirenprogramme schützen

    Eset verzeichnet eine starke Verbreitung eines altbekannten Schädlings: Der Trojaner HTML/FakeAlert wurde erstmals im Dezember 2009 entdeckt. Dann war es lange Zeit ruhig um die Schadsoftware, bis 2015 die Fälle erneut anstiegen. Seitdem ist die Erkennungsquote weltweit enorm gestiegen. Derzeit zählt HTML/FakeAlert zu den fünf größten Bedrohungen rund um den Globus und weist in Deutschland die höchsten Erkennungsraten im Vergleich zu anderer Malware auf. Der Trojaner HTML/FakeAlert kann durch anderen Schadcode auf den Computer eines Opfers gelangen, wie etwa über Webseiten, E-Mail-Anhänge oder Downloads von Filesharing-Seiten.

  • Fake-Google-Doc-Einladung

    Laut Malwarebytes verbreitet sich aktuell eine neue Phishing-Kampagne rasant, die Google Doc-Einladungen, wie man sie zum Bearbeiten von Dokumenten über Google erhält, imitiert. Potentielle Opfer erhalten dabei eine E-Mail die angeblich von dem Anbieter Mailnator stammt (Mailnator hat jegliche Verbindungen dazu bereits verneint).

  • Maskiert als Flash Player-Update

    Eset haben eine neue gefährliche Android-App entdeckt, die in der Lage ist, zusätzliche Malware herunterzuladen und auszuführen. Der Trojaner wird von Eset als Android/TrojanDownloader.Agent.JI erkannt und über kompromittierte Webseiten als Flash Player-Update maskiert verbreitet. Nach der Installation startet die Malware einen gefälschten "Saving Battery"-Service im Android-System und erfordert vom Nutzer kritische Berechtigungen in den Bedienungsfunktionen von Android. Dem Angreifer wird so erlaubt, aktive Apps und Fensterinhalte abzurufen und "Explore by Touch" einzuschalten. Damit kann er die Aktionen des Nutzers imitieren und auf dem Display des Geräts anzeigen, was er möchte.

  • Neuer Linux-Trojaner entdeckt

    Die Virenanalysten von Doctor Web entdeckten im Januar einen neuen Linux-Trojaner, der bereits Tausende Geräte infiziert hat. Erst im Dezember berichtete Doctor Web über den rapiden Anstieg von Linux-Malware. Der neue Linux-Trojaner heißt Linux.Proxy.10 und startet den Proxyserver SOCKS5 auf dem infizierten Gerät. SOCKS5 basiert dabei auf einem offenen Quellcode des Satanic Socks Servers und gewährleistet so die Anonymität der Cyber-Kriminellen. Via Secure Shell verbreiten diese Linux.Proxy.10 und speichern dabei die Liste von Geräten sowie Benutzername und Passwort auf ihrem Server ab.