NotCompatible.C: Schadsoftware tarnt sich als Android-Update

Das Sicherheitsunternehmen Lookout warnt vor einer Weiterentwicklung der seit 2012 bekannten Android-Malware NotCompatible. Die neue Variante NotCompatible.C soll über eine durchgehende Verschlüsselung verfügen und das Niveau von traditionell PC-basierten Angriffen erreichen. Laut Lookout entwickelte sich daraus „das am längsten laufende Botnet für Smartphones und Tablets, das wir jemals beobachtet haben“. Seine Abschaltung sei kaum möglich, und es habe das Potenzial, auch Unternehmensnetzwerke zu schädigen.

Schon bei NotCompatible.A handelte es sich um eine Remote-Proxy-Malware, die über gehackte Websites verteilt wurde. Nach Drive-by-Downloads einer meist als update.apk bezeichneten Datei wurden Android-Nutzer zur Installation eines Sicherheitsupdates aufgefordert. Tatsächlich war es eine getarnte Malware, die das Gerät für das Versenden von Spam und illegale Aktivitäten nutzen wollte.

Das Gerät übernehmen konnte sie allerdings nur mit Zustimmung des Nutzers – und in den Sicherheitseinstellungen musste er die standardmäßig nicht vorgesehene Installation von Apps aus anderen Quellen als dem Play Store ausdrücklich zulassen. Eine weitere Abwehrebene ist die standardmäßig aktivierte App-Bestätigung.

Dennoch fanden sich offenbar zahlreiche Nutzer, die unvorsichtig genug waren, das vorgebliche Update zu installieren. Schon vor einem Jahr meldete Lookout, seine hauseigene Sicherheitslösung für das Google-Betriebssystem habe den Schädling 70.000 mal erkannt. Viele Anwender wurden auch durch Social-Engineering-Techniken dazu verführt. Eine typische Spam-Mail informierte die Empfänger beispielsweise, sie müssten einen „Sicherheits-Patch“ installieren, um eine angehängte Datei zu öffnen.

Auch Unternehmen sind davon inzwischen betroffen, wie die auf Smartphones und Tablets spezialisierte Sicherheitsfirma berichtet: „Wir glauben, dass NotCompatible bereits in zahlreichen Unternehmensnetzwerken vorhanden ist, da wir über die Datenbank von Lookout wissen, dass Hunderte von Unternehmensnetzwerken Geräte enthalten, die mit NotCompatible in Berührung gekommen sind.“

NotCompatible.C ist laut Lookout „im Grunde genommen ein Botnet, das gemietet werden kann“. Eine besonders raffinierte Bedrohung schaffe es durch eine komplexe Serverarchitektur der Kommando- und Kontrollserver, Peer-to-Peer-Kommunikation der befallenen Geräte sowie Verschlüsselung. Die Infrastruktur für Befehle und Kommunikation schütze sich selbst durch Redundanz und Verschlüsselung. Bei der letzten Zählung fand Lookout mehr als zehn separate und unterschiedliche Server in Schweden, Polen, den Niederlanden, Großbritannien und den USA.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

18 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

22 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

23 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

23 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

23 Stunden ago