Android-Trojaner imitiert Flash-Player und erschleicht sich Nutzerrechte

Eine Schad-App, die die Sicherheitssoftware von Eset als Android/TrojanDownloader.Agent.JI identifiziert hat, imitiert den Adobe Flash Player und öffnet ein Tor für verschiedene Malwaretypen. Wie Sicherheitsexperte Lukas Stefanko in einem Blogeintrag erklärt, trickst der Trojaner den Anwender aus und erschleicht sich weitreichende Nutzerrechte. Die Rechte werden dazu missbraucht, verschiedenste Malware herunterzuladen und auszuführen. Den Analysen von Eset zufolge sind Geräte gefährdet, die unter Android laufen, auch die mit der aktuellsten Version Nougat.

Fake-Screen (Bild: Eset)

Der Trojaner wird laut Eset über kompromittierte Webseiten verteilt – hauptsächlich über Videoportale für Erwachsene und über Social Media. Unter dem Vorwand von Sicherheitsmaßnahmen, soll der User auf einer Website ein gefälschtes Adobe Flash Player Update ausführen. Fällt er auf die gut gestaltete Oberfläche herein und führt die Installation aus, kann er sich nur über noch mehr trügerische Seiten „freuen“, so die Sicherheitsexperten.

In der Folge erscheint die nächste Bildschirm-Oberfläche. Auf dieser wird nun behauptet, dass das Gerät zu viel Energie verbrauche. Der User wird dazu gedrängt, einen „Saving-Battery“-Modus zu aktivieren. Wie die meisten Fake-Apps soll auch diese Anwendung solange nicht aufgeben und die Nachricht einblenden, bis sie ihr Ziel erreicht hat und der Nutzer die Einstellung ändert. Diese Aktion öffnet Eset zufolge das Eingabehilfe-Menü. Man sieht die normalen Dienste der Eingabehilfe und einen neuen namens “Saving battery”, den die Malware integriert hat.

Pop-up Screen fordert “Saving Battery” nach Installation (Bild: Eset)

Der Dienst fordert die Berechtigungen zum Überwachen jeglicher Aktionen, zum Abrufen des Fensterinhalts und zum Erkennen von Berührung auf dem Bildschirm. Dieses Verhalten ist entscheidend für zukünftige böswillige Aktivitäten und ermöglicht dem Angreifer, die Klicks der User nachzuahmen und auf dem Bildschirm auszugeben.

Ist der Dienst erst einmal aktiviert, versteckt sich das Flash Player Icon vor dem User. Im Hintergrund kommuniziert die Anwendung allerdings mit dem Command & Control Server der Angreifer und versorgt sie mit allen notwendigen Informationen über das kompromittierte Gerät. Der Server antwortet mit einer Ausgabe einer URL, die zu einer von den Cyber-Kriminellen ausgewählten Schad-App führt. Nach dem Erhalt des Schad-Links, wird auf dem Smartphone ein gefälschter Lock Screen angezeigt. Dieser stellt keine Schließen-Option zur Verfügung. In Wahrheit verdeckt er nur die anderen ablaufenden Aktionen.

Die Malware kann nun – dank der erschlichenen Berechtigungen – in aller Ruhe, zusätzliche Schadsoftware herunterladen, installieren und mit Admin-Genehmigungen ausführen. Alles das geschieht ohne die weitere Zustimmung des Users und verdeckt.
Der Overscreen verschwindet nach den verdeckten Aktionen und der User kann sein Gerät wieder normal bedienen – allerdings mit einer unbekannten Anzahl an Malware.

Eset rät Nutzern, die glauben, sich diesen Trojaner eingefangen zu haben, unter den oben genannten Einstellungen (Eingabehilfe) nachzusehen, ob sich dort ein Eintrag namens „Saving-Battery“ befindet. Wer den Eintrag findet, ist mit Sicherheit kompromittiert worden.

Laut den Experten hilft es nicht, der Anwendung einfach die Rechte zu entziehen. In diesem Fall tauche nur wieder jenes Fenster auf, in dem die Berechtigungen zugesprochen werden sollen.

Android Eingabehilfe-Menü mit neuem Service (Bild: Eset)

Stattdessen sollte man versuchen, den Malware-Downloader unter Einstellungen / Anwendungsmanager / Flash-Player zu deinstallieren. In einigen Fällen fordert der Downloader den Benutzer dazu auf, bestimmte Admin-Rechte zu aktivieren. Sollte dies der Fall sein und sich die App nicht deinstallieren lassen, empfiehlt Eset die Administratorrechte unter Einstellungen / Sicherheit / Flash-Player zu deaktivieren. Anschließend kann mit der Deinstallation fortgefahren werden.

Um sicherzustellen, dass sich auf dem Gerät keine weiteren „böswilligen“ Anwendungen befinden, empfehlen die Experten die Verwendung einer seriösen mobilen Sicherheitslösung.

Grundsätzlich sollten Nutzer nur auf vertrauenswürdigen Webseiten surfen und die URL beim Updaten von Apps und Browsern überprüfen. Während der Installation von Anwendungen sollte man darauf achten, welche Rechte einer App zugesichert werden. Inadäquate Rechteeinforderungen können auf Malware hindeuteten.