Kaspersky meldet „bisher raffinierteste Android-Malware“

Die Sicherheitsforscher von Kaspersky haben eine Android-Anwendung untersucht, die sich als „multifunktionaler Trojaner“ erwies. Ihre Analyse ergab, dass das Schadprogramm eher Windows-Malware ähnelt als anderen Android-Trojanern. Das zeige sich in seiner Komplexität und der Zahl unveröffentlichter Schwachstellen, die es nutzt.

Der als Backdoor.Android.OS.Obad.a bezeichnete Trojaner hat zunächst mit ähnlichen Schadprogrammen gemeinsam, dass er Textnachrichten an Rufnummern mit erhöhten Tarifen versendet. Er kann aber darüber hinaus auch zusätzliche Malware nachladen und über Bluetooth weitere Geräte infizieren. Gestohlene Daten schickt er als verschlüsseltes JSON-Objekt an die Kommando- und Kontrollserver bei Androfox.com, darunter Geräteinformationen, Nutzerdaten sowie die Information, ob Geräteadministrator-Rechte erlangt wurden.

Die Malware nutzt eine Zero-Day-Lücke in Googles Mobilbetriebssystem, um sich Geräteadministratoren-Rechte zu verschaffen, ohne in der Liste von Anwendungen mit solchen Rechten zu erscheinen. Laut Kaspersky ist es daher unmöglich, die bösartige Software vom Smartphone zu entfernen, wenn es die erweiterten Rechte einmal erlangt hat. Sie arbeitet außerdem immer nur im Hintergrund. Mit dem Befehl „su id“ versuche sie, Rootrechte zu erlangen.

Die Malware-Autoren können den Trojaner auch mit Textnachrichten kontrollieren und nutzen offenbar weitere Lücken, um seine Entdeckung zu verhindern. Sie verändern die Datei AndroidManifest.xml, die im Stammverzeichnis jeder Android-Anwendung enthalten sein muss und wesentliche Informationen zur App liefert. Obwohl sie von den Vorgaben Googles abweicht, wird sie von Android aufgrund einer Schwachstelle ausgeführt.

Ihre Aktivitäten verschleiert die Anwendung durch raffinierte mehrstufige Verschlüsselung. So erfahren die wichtigsten Zeichenketten, die die Adresse der Kommando- und Kontrollserver enthalten, bei bestehender Internetverbindung eine Verschlüsselung mit einem Schlüssel, der aus einem bestimmten Element der Webseite Facebook.com besteht.

Trotz seiner beeindruckenden Fähigkeiten hat sich Backdoor.AndroidOS.Obad.a bislang nur mäßig verbreitet. Während einer dreitägigen Beobachtungsphase machten seine Installationsversuche nicht mehr als 0,15 Prozent aller Versuche aus, Mobilgeräte mit Malware zu infizieren.

[mit Material von Tom Brewster, TechWeekEurope]

ZDNet.de Redaktion

Recent Posts

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

14 Stunden ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

14 Stunden ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

16 Stunden ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

20 Stunden ago

LG zeigt elastisches OLED-Display

Es lässt sich um bis zu 50 Prozent dehnen. Allerdings besitzt es eine deutliche geringere…

1 Tag ago

BSI zu Cybersicherheit: Bedrohungslage bleibt angespannt

Allerdings nimmt auch die Resilienz gegenüber Cyberattacken zu. Das BSI hat außerdem die Cybersicherheit anstehender…

1 Tag ago