„The Interview“-App ist ein Trojaner

Eine vor allem durch Torrent-Downloads verbreitete Android-App, die eine Piratenversion des Films „The Interview“ verspricht, hat sich tatsächlich als Malware erwiesen. Der zweistufige Banking-Trojaner „Android/Badaccents“ lädt tatsächlich nicht den erwarteten kostenlosen Film, sondern weitere Malware nach. Wie Sicherheitsforscher herausfanden, übermittelt die Schadsoftware Bankdaten infizierter Geräte an einen Mail-Server in China.

Der Download kursiert vor allem in Südkorea und zielt auf Kunden einer Reihe koreanischer Banken, aber mit Citi Bank auch einem internationalen Finanzdienstleister. Entdeckt wurde die Malware, von der bislang angeblich rund 20.000 Geräte befallen wurden, durch eine gemeinsame Untersuchung der Sicherheitsfirma McAfee mit der Technischen Universität Darmstadt und dem Centre for Advanced Security Research Darmstadt (CASED). Im offiziellen Google Play Store war und ist die App nicht erhältlich.

Es ist nicht das erste Mal, dass eine Malware-Kampagne auf eine durch umfangreiche Berichterstattung entfachte Neugierde setzt. Die Komödie „The Interview“ wird als Grund für einen massiven Hacker-Angriff auf Server von Sony Pictures vermutet, für den die US-Regierung inzwischen Nordkorea verantwortlich macht. In diesem Film werden zwei Fernsehjournalisten in einen Anschlagsversuch auf den nordkoreanischen Staatschef Kim Jong-Un verwickelt. Nach weiteren Hacker-Drohungen sagte Sony zunächst den Vertrieb von „The Interview“ ab, machte den Film dann aber begrenzt in Filmtheatern und online verfügbar.

An der Malware, die sich als „The Interview“-App ausgibt, fiel auch auf, dass sie die Android-Geräte darauf überprüfte, ob es sich um in Nordkorea verbreitete Fabrikate handelt. In diesem Fall gab sie nur die Meldung aus, der Server für den Download des Films sei nicht erreichbar. Sicherheitsforscher Irfan Asrar von McAfee sieht darin jedoch keine politische Verbindung, sondern nimmt an, dass die Hintermänner der Kampagne lediglich Bandbreite sparen wollten – Nordkoreaner können schließlich kaum Kunden südkoreanischer oder internationaler Banken sein.

Wie Sicherheitsexperte Graham Cluley außerdem erfuhr, wurde die Malware offenbar bei Amazon Web Services (AWS) gehostet. McAfee habe Amazon Web Security über seine diesbezüglichen Erkenntnisse informiert und um die Entfernung der Dateien gebeten. Ein Amazon-Sprecher wollte das nicht klar bestätigen, aber seine Formulierungen legen nahe, dass die Dateien tatsächlich über AWS verfügbar waren und inzwischen entfernt wurden: „Wir haben eindeutige Richtlinien für akzeptable Nutzung. Wann immer wir eine Beschwerde über einen Missbrauch unserer Services erhielten, haben wir rasch reagiert und die Vorgaben umgesetzt. Die berichtete Aktivität läuft nicht auf AWS.“

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de