Botnetz verteilt Android-Trojaner

Ein neuer Android-Trojaner wird über das Cutwail-Botnetz verteilt. Das Angriffsszenario beschränkt sich aber nicht nur auf Android-Geräte. Werden die gefährlichen Links auf Desktop-PCs geöffnet, werden Nutzer auf Seiten mit Blackhole-Exploit-Kit geleitet.

In Pocket speichern vorlesen Druckansicht 41 Kommentare lesen
Lesezeit: 2 Min.

Das Cutwail-Botnetz, das auch schon den Bankingtrojaner Zeus verbreitet, versucht einen neuen Android-Trojaner namens Stels unter die Leute zu bringen. Stels infiziert Android-Geräte, indem er sich als Adobe-Flash-Player-Update ausgibt. Nutzen die potentiellen Opfer allerdings keine Android-Geräte, haben sich die Malware-Autoren um eine Alternative bemüht. Werden die gefährlichen Spam-Links nicht auf Android-Geräten angeklickt, sondern in Desktop-Browsern wie dem Internet Explorer, leiten die Autoren ihre Opfer über eine Browserweiche auf Webseiten um, auf denen das Blackhole-Exploit-Kit lauert. Ein Sicherheitsteam von Dell hat das Angriffsszenario genauer untersucht.

Auf gefälschten Webseiten lauern die Blackhole-Exploit-Kits.

(Bild: Dell )

Die Attacken erfolgen demnach über Spam-Mails, die etwa vermeintlich im Namen der Bundessteuerbehörde der USA (Internal Revenue Service, IRS) verschickt werden. Folgt ein Nutzer den Links in den Spam-Mails, untersucht ein Skript, ob ein Android-Gerät genutzt wird. Ist dem nicht so und ein Nutzer surft mit dem Internet Explorer, Mozillas Firefox oder Opera, wird er auf eine Webseite gelenkt, auf dem ein Blackhole-Exploit-Kit lauert. Es versucht den Rechner über veraltete Browser-Plug-Ins zu infizieren.

Wird tatsächlich ein Android-Gerät genutzt, lenkt das Skript die Nutzer auf eine Webseite, die darauf aufmerksam macht, dass der Flash Player nicht mehr aktuell ist und ein Update anbietet. Um das falsche Update zu installieren, muss der Nutzer allerdings erst erlauben, dass Apps aus "unbekannten Quellen" zugelassen werden.

Ohne Erlaubnis des Nutzers kann sich das falsche Update nicht installieren.

(Bild: Dell )

Stimmt der Nutzer zu, installiert sich der Trojaner. Öffnet der Nutzer die vermeintliche App dann zum ersten Mal, gibt sie vor, dass die Installation fehlgeschlagen ist und deshalb wieder deinstalliert wird. Im Hintergrund arbeitet Stels dann allerdings weiter und richtet eine Backdoor ein, mit der er Schadsoftware nachladen kann. Der Trojaner kann darüber hinaus die Kontaktlisten seiner Opfer ausspähen, kostenpflichtig SMS senden, Telefonanrufe absetzen und SMS etwa nach mTANS filtern. In Kombination mit einem Zeus-Trojaner könnte Stels deshalb vermutlich Zwei-Fakor-Authentifizierungen austricksen.

Perfekt ist die Tarnung noch nicht.

(Bild: Dell )

Der Trojaner dringt allerdings nicht tief in das Android-Betriebssystem ein. Stels funktioniert ohne Root-Zugriff und versteckt sich kaum. Unter den Einstellungen kann das vermeintliche Flash-Update deshalb bei den "aktiven Apps" aufgespürt und auch deinstalliert werden. Vor dem ersten Start ist auch der Titel der "App" auffällig: unter dem Icon steht dann kurzzeitig "Appname". (kbe)