Categories: MobileMobile Apps

Android-Trojaner gibt sich als Update für den Flash-Player aus

Der IT-Sicherheitsanbieter Eset hat vor der Schadsoftware Android/TrojanDownloader.Agent.JIgewarnt. Sie gibt sich als Adobe Flash Player aus, lädt aber, wenn sie einmal auf ein Smartphone gelangt ist, weitere Malware nach. Wie Eset-Experte Lukas Stefanko erklärt, wird die gefährliche App über kompromittierte Webseiten verteilt, in erster Linie “Videoportale für Erwachsene” und mittels Social Media.

Eset warnt Android-Nutzer vor einem Fake-Flash-PLayer-Update (Screenshot: Eset)

Besucher der Website werden auf vermeintliche Sicherheitsmängel hingewiesen und aufgefordert, ein Update des Adobe Flash Player herunterzuladen. Dazu haben die Hintermänner das tatsächliche Verhalten und die Gestaltung der Adobe-Angebote sehr gut nachgeahmt.

Anschließend wird der Nutzer mit einer – hartnäckig immer wiederkehrenden – Meldung konfrontiert, mit der behauptet wird, das Gerät benötige aktuell zu viel Energie. Um das zu ändern, soll er einen “Saving-Battery” genannten Modus aktivieren. Folgt er auch dieser Aufforderung öffnet sich das Eingabehilfe-Menü. Dort fordert der Dienst “Saving battery”, den die Malware integriert hat, umfangreiche Berechtigungen, darunter zum Überwachen jeglicher Aktionen, zum Abrufen des Fensterinhalts und zum Erkennen von Berührung auf dem Bildschirm. Werden ihm die zugestanden, haben die Kriminellen alle Möglichkeiten, Aktivitäten des echten Nutzers nachzuahmen.

Das vermeintliche Flash Player Icon versteckt sich dann vor dem User. Die Anwendung nimmt jedoch im Hintergrund Verbindung zu einem Kontrollserver auf, dem sie auch Informationen über das kompromittierte Gerät übermittelt. Der Server antwortet mit einer URL, die zu einer weiteren Schad-App führt. Damit wird auf dem Smartphone ein gefälschter Lock Screen angezeigt, der keine “Schließen-Option” bietet. Er dient dazu, andere Aktionen zu verbergen.

Wer hier zustimmt, hat das Ringen mit der Malware verloren (Screenshot: Eset)

Ohne vom Anwender gestört zu werden, kann noch mehr Schadsoftware heruntergeladen, installiert und mit Admin-Rechten ausgeführt werden. Haben die Kriminellen ihre Ziele erreicht, verschwindet der Lock Screen wieder. Das Telefon lässt sich dann wieder wie gewohnt bedienen, ist aber vollkommen mit Malware verseucht.

Eset rät, in der Eingabehilfe zu überprüfen, ob sich dort der Eintrag “Saving-Battery” befindet. Falls ja, ist das Smartphone mit Sicherheit infiziert. Betroffene sollten, den Malware-Downloader unter Einstellungen / Anwendungsmanager / Flash-Player zu deinstallieren. In einigen Fällen fordere der Downloader Benutzer dazu auf, bestimmte Admin-Rechte zu aktivieren.

Sollte dies der Fall sein und sich die App nicht deinstallieren lassen, empfiehlt Eset die Administratorrechte unter Einstellungen / Sicherheit / Flash-Player zu deaktivieren. Anschließend kann mit der Deinstallation fortgefahren werden. Um das Gerät komplett zu säubern und auch sauber zu halten, empfehlen sie zudem wie üblich eine bewährte Mobile-Security-Software zu verwenden

[mit Material von Anja Schmoll-Trautmann, ZDNet.de]

Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago