Handy-Java-Trojaner tarnt sich als WAP-Tool

Ein Trojaner mit Namen J2ME/RedBrowser.A bringt derzeit arglose Kunden der russischen Mobilfunkbetreiber MTS, Beeline und Megafon um ihr Geld. Aus einer Pressemitteilung des AV-Herstellers Kaspersky geht hervor, dass der 54482 Byte große Schädling als gewöhnliches Java-Archiv mit Namen "redbrowser.jar" auf Handys wie eine normale Applikation installiert und ausgeführt werden muss.

Einmal gestartet, gibt er laut einer detaillierten Beschreibung in einer Pressemeldung des AV-Spezialisten McAfee in einer auf Russisch verfassten Anleitung vor, WAP-Seiten per SMS ohne Datenverbindung abrufen zu können, wobei die ersten fünf Megabyte beziehungsweise 650 SMS kostenlos seien. Statt der WAP-Seiten bekommt der Handybesitzer jedoch nur eine überhöhte Telefonrechnung präsentiert, da die gewählten netzinternen Premium-SMS-Nummern mit rund fünf US-Dollar pro Nachricht abgerechnet werden.

RedBrowser.A nutzt dabei offenbar keinerlei Sicherheitslücken oder Hintertüren, sondern durch geschicktes Social Engineering die Leichtgläubigkeit der Handybenutzer. Er verfügt auch über keine Funktionen zur eigenständigen Verbreitung. Wie das Java-Archiv auf die Handys der Opfer gelangt, ist noch unklar. Denkbar wären ein gezielter Versand per MMS oder Downloads aus dem Internet.

Der Trojaner ist potenziell auf allen Handys mit der Java-Laufzeitumgebung J2ME ausführbar, jedoch existieren offenbar auch Inkompatibilitäten. McAfee nennt als einzige bislang bekannte Ausnahme das Symbian-Smartphone Sony-Ericsson P900, da es eine spezielle Programmierschnittstelle für Java-Programme einsetze. Zur Entfernung des Schädlings ist es ausreichend, das JAR-Archiv zu löschen beziehungsweise die eingebaute Funktion zur Deinstallation von Java-Applikationen zu benutzen.

RedBrowser ist insofern auch ein klassischer Dialer, der statt der üblichen Mehrwertdienste mit den Vorwahlen 0190 oder 0900 auf Premium-SMS-Dienste abzielt. Seine fest einprogrammierten, netzinternen Rufnummern sind ausschließlich aus den jeweiligen russischen Betreibernetzen erreichbar. RedBrowser könnte demnach beispielsweise in Deutschland keinen Schaden anrichten.

Die zunehmende Verbreitung von Java-fähigen, mobilen Endgeräten vereinfacht die Entwicklung plattformübergreifender Applikationen in diesem Bereich immens. Diese Einfachheit hat jedoch auch ihren Preis, denn in Zukunft dürfte Java auch erste Wahl für die Programmierer von Handy-Schadsoftware sein, um möglichst viele Endgeräte anvisieren zu können. Die AV-Hersteller stehen schon jetzt in den Startlöchern, um ihre Produkte im vielversprechenden Handy-Markt zu platzieren. Das jüngst erschienene Smartphone Sony-Ericsson P990i wird bereits mit einer 30 Tage lauffähigen Testversion von McAfee VirusScan Mobile ausgeliefert.

Siehe dazu auch: (cr)

• Trojan-SMS.J2ME.RedBrowser.a, Beschreibung auf Viruslist.com
• Hersteller: Jede zwanzigste Handy-Multimedia-Nachricht ist wurmverseucht, Bericht auf heise Security
• McAfee will bereits über 100 Handy-Viren kennen, Bericht auf heise Security