NotCompatible.C: Schadsoftware tarnt sich als Android-Update

Das Sicherheitsunternehmen Lookout warnt vor einer Weiterentwicklung der seit 2012 bekannten Android-Malware NotCompatible. Die neue Variante NotCompatible.C soll über eine durchgehende Verschlüsselung verfügen und das Niveau von traditionell PC-basierten Angriffen erreichen. Laut Lookout entwickelte sich daraus „das am längsten laufende Botnet für Smartphones und Tablets, das wir jemals beobachtet haben“. Seine Abschaltung sei kaum möglich, und es habe das Potenzial, auch Unternehmensnetzwerke zu schädigen.

Schon bei NotCompatible.A handelte es sich um eine Remote-Proxy-Malware, die über gehackte Websites verteilt wurde. Nach Drive-by-Downloads einer meist als update.apk bezeichneten Datei wurden Android-Nutzer zur Installation eines Sicherheitsupdates aufgefordert. Tatsächlich war es eine getarnte Malware, die das Gerät für das Versenden von Spam und illegale Aktivitäten nutzen wollte.

Das Gerät übernehmen konnte sie allerdings nur mit Zustimmung des Nutzers – und in den Sicherheitseinstellungen musste er die standardmäßig nicht vorgesehene Installation von Apps aus anderen Quellen als dem Play Store ausdrücklich zulassen. Eine weitere Abwehrebene ist die standardmäßig aktivierte App-Bestätigung.

Dennoch fanden sich offenbar zahlreiche Nutzer, die unvorsichtig genug waren, das vorgebliche Update zu installieren. Schon vor einem Jahr meldete Lookout, seine hauseigene Sicherheitslösung für das Google-Betriebssystem habe den Schädling 70.000 mal erkannt. Viele Anwender wurden auch durch Social-Engineering-Techniken dazu verführt. Eine typische Spam-Mail informierte die Empfänger beispielsweise, sie müssten einen „Sicherheits-Patch“ installieren, um eine angehängte Datei zu öffnen.

Auch Unternehmen sind davon inzwischen betroffen, wie die auf Smartphones und Tablets spezialisierte Sicherheitsfirma berichtet: „Wir glauben, dass NotCompatible bereits in zahlreichen Unternehmensnetzwerken vorhanden ist, da wir über die Datenbank von Lookout wissen, dass Hunderte von Unternehmensnetzwerken Geräte enthalten, die mit NotCompatible in Berührung gekommen sind.“

NotCompatible.C ist laut Lookout „im Grunde genommen ein Botnet, das gemietet werden kann“. Eine besonders raffinierte Bedrohung schaffe es durch eine komplexe Serverarchitektur der Kommando- und Kontrollserver, Peer-to-Peer-Kommunikation der befallenen Geräte sowie Verschlüsselung. Die Infrastruktur für Befehle und Kommunikation schütze sich selbst durch Redundanz und Verschlüsselung. Bei der letzten Zählung fand Lookout mehr als zehn separate und unterschiedliche Server in Schweden, Polen, den Niederlanden, Großbritannien und den USA.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de