Immer mehr Malware zielt auf Android

Start-Bildschirm einer bösartigen Anwendung, die Bankdaten abgreift. Quelle: Fortynet

Sicherheitsforscher berichten von Malware, die sich auf Smartphones mit dem quelloffenen Betriebssystem Android richtet. Einige nutzen eine neue Variante des DroidDream-Trojaner. Diese Schadsoftware wurde von Google bereits vor einiger Zeit aus dem Android Market entfern und ist jetzt offenbar “mutiert”.

Doch immer wieder schaffen es Kriminellen mit einer neuen Variante des DroidDream Light infizierte Anwendungen an den Filtern von Google vorbei in den Marktplatz einzuschleusen. “Leider war die Malware im Android Market für eine kurze Zeit verfügbar, so begrenzt sich die Zahl der Downloads zwischen 1000 und 5000″, heißt es etwa von den Sicherheitsexperten bei Lookout in einem Blog.

Insgesamt waren es vier Anwendungen, die es in den Market schafften. Sie stammten allesamt von dem Entwickler “Mobnet” und die Anwendungen hießen Quick FallDown, Scientific Calculator, Bubble Buster, Best Compass und Leveler. Letzteres allerdings sollte nicht mit der gleichnamigen legitimen App verwechselt werden. Diese wird jedoch unter “com.gb.compassleveler” angeboten. Die Malware hingegen wurde als “com.gb.CompassLeveler” angeboten, teilt Lookout mit.

Wie auch bei der Malware, die im März und Mai für Android entdeckt wurde, verließ sich der Schädling nicht darauf, dass die Anwendung manuell gestartet wird. Die App kann selbst eine Verbindung herstellen und ändert zudem den Kontroll-Server, der die Anwendung steuert und damit auch das infizierte Gerät. Beim Herunterladen der infizierten App wird der Nutzer zudem dazu gebracht weitere Schädlinge zu installieren und manipulierte Webseiten zu besuchen. Zudem lädt die Software eigenständig aktuellere Versionen herunter.

Vermeiden lässt sich eine Infizierung dadurch, dass Apps lediglich aus vertrauenswürdigen Quellen heruntergeladen werden und die Entwickler ein gutes Rating haben. Zudem sollte man die Berechtigungen dieser Apps prüfen und mit dem Funktionsumfang des Programms abdecken. Sollte das Telefon von sich aus etwa Anrufe starten, unbekannte Anwendungen installieren oder SMS verschicken, gilt die höchste Alarmstufe.

Ein SMS-Trojaner der auf Android-Handys den Posteingang nach Bank-Aktivierungscodes überwacht. Quelle: Fortinet

HippoSMS ist ein weiteres Beispiel für eine Schadsoftware. Die haben Sicherheitsforscher der North Caroline State University in einem alternativen Android Market in China entdeckt. HippoSMS schickt SMS-Nachrichten an einen teuren Premiumdienst. Die Malware blockiert oder löscht zudem Nachrichten des Providers, in denen vor den hohen Gebühren gewarnt wird.

Fortinet zum Beispiel warnt jetzt vor Zitmo (ZeuS in the Mobile), einem Bank-Trojaner, der es auf Android abgesehen hat. Der Trojaner besitzt eine Bank-Aktivierungsanwendung, die zudem den gesamten SMS-Verkehr filtert und diese Nachrichten an einen Remote-Server weiterleitet. So kann diese Malware einmalige Aktivierungscodes, die die Banken an die Kunden per SMS verschicken, abgreifen und den Code nutzen.