Ein neuer Android-Trojaner verschafft sich Zugang zum WhatsApp-Messenger und kann Chats auslesen. Auch andere Bereiche des Smartphones wie die Kamera-Software sind betroffen. Experten erklären nun, wie man sich schützen kann.
Die Spyware trägt den komplizierten Namen „Android.Trojan-Spy.Buhsam.A“ und soll sich noch in der Entwicklung befinden. Das schreibt das IT-Sicherheitsunternehmen G Data Security in Bezug auf die Spyware auf seinem Blog. Die Analyse der Malware habe ergeben, dass der Android-Trojaner zahlreiche private Informationen von einem Smartphone kopieren und WhatsApp-Chats auslesen kann. Auch die Smartphone-Kamera von Android-Handys kann die Malware ansteuern und übernehmen.
So erkennt man die WhatsApp-Malware
Entdeckt wurde der Trojaner durch den Sicherheitsforscher Lukas Stefanko bereits Anfang September. Analysten von G Data haben ihn nun einer ausführlichen Analyse unterzogen und herausgefunden, dass sich die Malware noch in der Entwicklung befinden muss. Eine schlechte Programmierung käme laut Experten aber ebenfalls in Frage. Die Malware zeigt sich nämlich nach dem zunächst heimlichen Starten diverser Systemdienste mit der Benachrichtigung „Service Started“. Das ist ungewöhnlich für Malware, da Hacker und Kriminelle ihre Spyware natürlich möglichst unbemerkt auf Geräte schleusen wollen. Es könnte sein, dass die Malware versehentlich im Entwicklungsstadium in Umlauf geraten ist, etwa im Rahmen der Prüfung durch Virenscanner.
Spying backdoor or surveillance malware?
In two days I found two different Android spy families. This one with help of @CryptoInsaneSpies on:
-browsing history
-photos
-WhatsApp conversation db
-upload files
-contacts
-SMS
-battery status 🧐
IoC:D7AB404CE9660C696485F59B98710D8F pic.twitter.com/mlqvZxcxuE— Lukas Stefanko (@LukasStefanko) September 4, 2018
So gelangt die Malware aufs Smartphone
Die Sicherheitsforscher konnten rekonstruieren, wie der Android-Trojaner den Weg auf das Smartphone findet. Demnach sei die Lücke in Websockets zu finden: „Die Schadsoftware baut die Verbindung mit dem Command-and-Control-Server nicht über eine normale http-Verbindung auf, sondern nutzt stattdessen die sogenannten Websockets. Verbindungen über Websockets können ohne Probleme über eine längere Zeit aufrechterhalten werden, anders als klassische http-Verbindungen“, schreibt G Data Security in seinem Bericht.
Habe sich die Malware einmal auf dem Smartphone des Opfers eingenistet, könne sie dort auf zahlreiche Dienste und Module zugreifen. So können Kriminelle etwa die gesamte WhatsApp-Datenbank auslesen und auf eigenen Servern mit Nutzerzuordnung speichern. Zudem greift die Spyware auf die Historie und Lesezeichen des Internetbrowsers zu, kann Kontakte auslesen und die Kamera übernehmen – eine Horrorvorstellung.
So können sich Nutzer schützen
Die Malware gelangt laut Experten über eine Fälschung der Chat-App Viber auf das Smartphone von Betroffenen. Die falsche Message-App ist im offiziellen Google Play Store nicht zu finden, sondern lässt sich nur über Umwege, wie beispielsweise APK-Installation auf dem Handy einrichten. Wer Apps und Anwendungen außerhalb des Google Play Stores herunterlädt, läuft ohnehin Gefahr, Opfer von Malware und Viren zu werden. Um sich vor dem Trojaner namens Android.Trojan-Spy.Buhsam.A zu schützen, sollten Nutzer von Android-Smartphone nur offizielle Play-Store-Apps installieren.
[article_box articles=“3342″]
Meldung vom 19. Dezember 2018
Android-Trojaner Loapi: Diese Apps sind infiziert
Der Hersteller für Antivirus-Software und Sicherheitslösungen Kaspersky hat einen neuen Android-Trojaner entdeckt, der auf einem Smartphone verheerenden Schaden anrichten kann. Der Trojaner namens Loapi soll mobile Geräte sogar physisch zerstören können. Wir Du Dich gegen den Mega-Trojaner schützen kannst, erfährst Du hier.
Die Sicherheitsforscher von Kaspersky-Lab haben in einem Blog-Beitrag auf eine neue, beunruhigende Entdeckung aufmerksam gemacht. Der Android-Trojaner Loapi tummelt sich auf diversen Seiten als APK, also App außerhalb des Play Stores, und richtet bei erfolgreicher Infizierung eines Android-Smartphones großen Schaden an. So soll Loapi (Trojan.AndroidOS.Loapi.) die Nutzer von infizierten Smartphones mit nervigen Werbeeinblendungen belästigen, SMS-Betrug vornehmen und sogar DDoS-Attacken* (Distributed Denial-of-Service) durchführen können. Doch auch ein Mining-Modul zum Schürfen von Kryptowährung und ein Web-Crawler-Modul für verschleierte Zahlungsvorgänge bringt der multimodulare Trojaner mit.
Diese Apps sind mit Loapi infiziert
Kaspersky-Lab fand den Android-Trojaner in zahlreichen APK-Dateien, die als Antivirus-Software oder Erwachsenen-Apps auf Internetseiten als APK-Datei zu finden sind. Also Apps, die Nutzer außerhalb des Google Play Stores herunterladen und installieren können. Der Trojaner fordert dabei nach seiner Installation Administrator-Rechte für das Gerät ein und stellt unmittelbar eine Verbindung zum Urheber-Server her, um die zahlreichen Module zu installieren, mit denen er letztendlich verheerenden Schaden anrichten kann. Die Sicherheitsforscher konnten zudem festmachen, dass Loapi ein Android-Gerät so stark auslasten kann, dass der Akku durch Überhitzung beschädigt und das Smartphone somit zerstört wird.
Der Trojaner ist so designt, dass ein betroffener Nutzer die Administrator-Rechte nicht mehr zurückziehen kann, da er im entsprechenden Menü das Display des Geräts blockiert und das Fenster sich automatisch schließt. Das Android-Smartphone ist also bei einer Infizierung durch Loapi komplett fremdgesteuert. Auch Antivirus-Software, die der Nutzer zum Entfernen des Trojaners installiert, kann Loapi nicht gefährlich werden. Die Malware spürt etwaige Software auf und fordert den Nutzer so lange zur Deinstallation auf, bis dieser nachgibt. Welche Hacker hinter dem modularen Trojaner Loapi stecken, ist nicht bekannt.
So kannst Du Dich schützen
- Lade Apps nur in Googles offiziellem Play Store herunter und sperre in den Geräte-Einstellungen die Möglichkeit, außerhalb offizieller App-Stores herunterzuladen
- Überprüfe bei der Installation einer App genau, welche Rechte sie einfordert
- Erlaube keiner App jemals Administrator-Rechte
- Informiere Dich vor dem Download einer App über deren Seriosität
- Installiere auf Deinem Android-Telefon bewährte Sicherheitslösungen
- Lade und installiere angebotene Android-Updates auf Deinem Gerät immer sofort
*Was ist eine DDoS-Attacke?
Sogenannte DDoS-Attacken stellen die häufigsten Cyber-Angriffe im Internet dar. Sie blockieren einen Dienst – beispielsweise eine Internetseite oder einen Onlineshop – per Überlastung. Ist Malware, wie der Trojaner Loapi, auf Millionen Android-Geräten installiert, lassen sich all diese Geräte zusammenschalten und können dann gleichzeitig Anfragen zum Server der Internetseite senden. Sind Unternehmen nicht durch einen DDoS-Schutz abgesichert, kann es zu einer Überlastung der Server und somit zu einem Ausfall kommen. Hacker nutzen diese Attacken, um zum Beispiel Lösegeld zu erpressen oder kritische Infrastrukturen anzugreifen.
Die besten Play Store Apps 2017 findest du hier.