„The Interview“-App ist ein Trojaner

Eine vor allem durch Torrent-Downloads verbreitete Android-App, die eine Piratenversion des Films „The Interview“ verspricht, hat sich tatsächlich als Malware erwiesen. Der zweistufige Banking-Trojaner „Android/Badaccents“ lädt tatsächlich nicht den erwarteten kostenlosen Film, sondern weitere Malware nach. Wie Sicherheitsforscher herausfanden, übermittelt die Schadsoftware Bankdaten infizierter Geräte an einen Mail-Server in China.

Der Download kursiert vor allem in Südkorea und zielt auf Kunden einer Reihe koreanischer Banken, aber mit Citi Bank auch einem internationalen Finanzdienstleister. Entdeckt wurde die Malware, von der bislang angeblich rund 20.000 Geräte befallen wurden, durch eine gemeinsame Untersuchung der Sicherheitsfirma McAfee mit der Technischen Universität Darmstadt und dem Centre for Advanced Security Research Darmstadt (CASED). Im offiziellen Google Play Store war und ist die App nicht erhältlich.

Es ist nicht das erste Mal, dass eine Malware-Kampagne auf eine durch umfangreiche Berichterstattung entfachte Neugierde setzt. Die Komödie „The Interview“ wird als Grund für einen massiven Hacker-Angriff auf Server von Sony Pictures vermutet, für den die US-Regierung inzwischen Nordkorea verantwortlich macht. In diesem Film werden zwei Fernsehjournalisten in einen Anschlagsversuch auf den nordkoreanischen Staatschef Kim Jong-Un verwickelt. Nach weiteren Hacker-Drohungen sagte Sony zunächst den Vertrieb von „The Interview“ ab, machte den Film dann aber begrenzt in Filmtheatern und online verfügbar.

An der Malware, die sich als „The Interview“-App ausgibt, fiel auch auf, dass sie die Android-Geräte darauf überprüfte, ob es sich um in Nordkorea verbreitete Fabrikate handelt. In diesem Fall gab sie nur die Meldung aus, der Server für den Download des Films sei nicht erreichbar. Sicherheitsforscher Irfan Asrar von McAfee sieht darin jedoch keine politische Verbindung, sondern nimmt an, dass die Hintermänner der Kampagne lediglich Bandbreite sparen wollten – Nordkoreaner können schließlich kaum Kunden südkoreanischer oder internationaler Banken sein.

Wie Sicherheitsexperte Graham Cluley außerdem erfuhr, wurde die Malware offenbar bei Amazon Web Services (AWS) gehostet. McAfee habe Amazon Web Security über seine diesbezüglichen Erkenntnisse informiert und um die Entfernung der Dateien gebeten. Ein Amazon-Sprecher wollte das nicht klar bestätigen, aber seine Formulierungen legen nahe, dass die Dateien tatsächlich über AWS verfügbar waren und inzwischen entfernt wurden: „Wir haben eindeutige Richtlinien für akzeptable Nutzung. Wann immer wir eine Beschwerde über einen Missbrauch unserer Services erhielten, haben wir rasch reagiert und die Vorgaben umgesetzt. Die berichtete Aktivität läuft nicht auf AWS.“

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago