Android-Trojaner gibt sich als Update für den Flash-Player aus

Malware (Bild: Shutterstock/Maksim Kabakou)

Auf kompromittierten Webseiten werden Nutzer aufgefordert, “aus Sicherheitsgründen” ein Update für den Adobe Flash Player herunterzuladen. Dabei handelt es sich jedoch um die Malware Android/TrojanDownloader.Agent.JI. Sie verlangt weitreichende Rechte und lädt weitere Malware nach.

Der IT-Sicherheitsanbieter Eset hat vor der Schadsoftware Android/TrojanDownloader.Agent.JIgewarnt. Sie gibt sich als Adobe Flash Player aus, lädt aber, wenn sie einmal auf ein Smartphone gelangt ist, weitere Malware nach. Wie Eset-Experte Lukas Stefanko erklärt, wird die gefährliche App über kompromittierte Webseiten verteilt, in erster Linie “Videoportale für Erwachsene” und mittels Social Media.

Eset warnt Android-Nutzer vor einem Fake-Flash-PLayer-Update (Screenshot: Eset)
Eset warnt Android-Nutzer vor einem Fake-Flash-PLayer-Update (Screenshot: Eset)

Besucher der Website werden auf vermeintliche Sicherheitsmängel hingewiesen und aufgefordert, ein Update des Adobe Flash Player herunterzuladen. Dazu haben die Hintermänner das tatsächliche Verhalten und die Gestaltung der Adobe-Angebote sehr gut nachgeahmt.

Anschließend wird der Nutzer mit einer – hartnäckig immer wiederkehrenden – Meldung konfrontiert, mit der behauptet wird, das Gerät benötige aktuell zu viel Energie. Um das zu ändern, soll er einen “Saving-Battery” genannten Modus aktivieren. Folgt er auch dieser Aufforderung öffnet sich das Eingabehilfe-Menü. Dort fordert der Dienst “Saving battery”, den die Malware integriert hat, umfangreiche Berechtigungen, darunter zum Überwachen jeglicher Aktionen, zum Abrufen des Fensterinhalts und zum Erkennen von Berührung auf dem Bildschirm. Werden ihm die zugestanden, haben die Kriminellen alle Möglichkeiten, Aktivitäten des echten Nutzers nachzuahmen.

Das vermeintliche Flash Player Icon versteckt sich dann vor dem User. Die Anwendung nimmt jedoch im Hintergrund Verbindung zu einem Kontrollserver auf, dem sie auch Informationen über das kompromittierte Gerät übermittelt. Der Server antwortet mit einer URL, die zu einer weiteren Schad-App führt. Damit wird auf dem Smartphone ein gefälschter Lock Screen angezeigt, der keine “Schließen-Option” bietet. Er dient dazu, andere Aktionen zu verbergen.

Wer hier zustimmt, hat das Ringen mit der Malware verloren (Screenshot: Eset)
Wer hier zustimmt, hat das Ringen mit der Malware verloren (Screenshot: Eset)

Ohne vom Anwender gestört zu werden, kann noch mehr Schadsoftware heruntergeladen, installiert und mit Admin-Rechten ausgeführt werden. Haben die Kriminellen ihre Ziele erreicht, verschwindet der Lock Screen wieder. Das Telefon lässt sich dann wieder wie gewohnt bedienen, ist aber vollkommen mit Malware verseucht.

Eset rät, in der Eingabehilfe zu überprüfen, ob sich dort der Eintrag “Saving-Battery” befindet. Falls ja, ist das Smartphone mit Sicherheit infiziert. Betroffene sollten, den Malware-Downloader unter Einstellungen / Anwendungsmanager / Flash-Player zu deinstallieren. In einigen Fällen fordere der Downloader Benutzer dazu auf, bestimmte Admin-Rechte zu aktivieren.

Sollte dies der Fall sein und sich die App nicht deinstallieren lassen, empfiehlt Eset die Administratorrechte unter Einstellungen / Sicherheit / Flash-Player zu deaktivieren. Anschließend kann mit der Deinstallation fortgefahren werden. Um das Gerät komplett zu säubern und auch sauber zu halten, empfehlen sie zudem wie üblich eine bewährte Mobile-Security-Software zu verwenden

[mit Material von Anja Schmoll-Trautmann, ZDNet.de]