17. November 2016
Neuer Android-Trojaner: Bereits über 1 Mio. Nutzer betroffen
Virenanalysten von Doctor Web, einem Anbieter für IT-Sicherheitslösungen, haben auf Google Play einen neuen Trojaner entdeckt. Der Schädling, der als Android.MulDrop.924 klassifiziert wurde, lädt Apps herunter und installiert diese ohne Benutzererlaubnis. Außerdem zeigt er aufdringliche Werbung an.
Android.MulDrop.924 verbreitet sich über Google Play als Applikation unter dem Namen "Multiple Accounts: 2 Accounts" und wurde bereits von über 1 Mio. Besitzern von Android-Smartphones und -Tablets heruntergeladen. Die App ermöglicht die Nutzung von mehreren Benutzerkonten für Spiele und andere Applikationen, verbirgt jedoch eine Trojaner-Funktion.
Der Trojaner verfügt über eine ungewöhnliche Modul-Architektur. Zwei Hilfsmodule sind verschlüsselt und in PNG-Bildern versteckt. Beim Starten extrahiert und kopiert der Trojaner seine Module in sein lokales Verzeichnis /data und lädt dieses anschließend in den Hauptspeicher. Eine dieser Komponenten enthält einige Werbe-Plug-ins, welche den Entwicklern von Android.MulDrop.924 als Geldmaschine nutzen soll. Darunter auch das Modul Android.DownLoader.451.origin, das ohne Benutzererlaubnis Spiele und Apps herunterlädt und diese installiert. Darüber hinaus zeigt es aufdringliche Werbung im Systemtray an.
Android.MulDrop.924 verbreitet sich auch über Software-Webseiten. Eine der Trojaner-Versionen ist in die Applikation "Multiple Accounts: 2 Accounts" eingebettet. Sie ist mit einem fremden Zertifikat signiert und enthält das Trojaner-Plug-in Android.Triada.99, das Exploits herunterlädt um an Root-Rechte zu gelangen.
LB
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.