Neue Android-Schädlingsvariante ist noch fieser

Originalartikel von Mark Balanza, Threats Analyst

Die Schädlinge für Android-Geräte nehmen in erschreckendem Tempo zu. Im ersten Halbjahr 2011 ist die Zahl der entdeckten Schädlinge um 1410 Prozent gewachsen. Das zeigt Trend Micros Infographic:

Nun haben die Sicherheitsforscher eine neue Variante des Android-Schädlings DroidDreamLight (ANDROIDOS_DORDRAE.N) in mehreren Apps eines chinesischen App Store entdeckt. Die betroffenen Apps für das Monitoring der Batterien, das Auflisten von Aufgaben oder der Rechte von installierten Apps, sind in Englisch gehalten, können also auch außerhalb des Landes ihre Opfer finden.

Die aktuelle Variante weist wichtige Änderungen auf: Es sind Routinen für den Datendiebstahl hinzugekommen, und zwar kann der Schädling jetzt folgende Informationen vom Gerät abgreifen:

  • – SMS (Inbox und Outbox)
  • – Logs der Anrufe (ankommend und ausgehend)
  • – Kontaktlisten
  • – Information bezüglich der auf dem Gerät gespeicherten Google-Konten.

Die gestohlenen Informationen warden in dem Verzeichnis /data/data/%package name%/files gespeichert und komprimiert und dann auf eine URL in einer Konfigurationsdatei geladen.

Wie schon die früheren Varianten so speichert auch die aktuelle hier zusätzlich Daten über das infizierte Gerät. Dazu gehören Gerätemodell, Spracheinstellungen, Land, IMEI- und IMSI-Nummer, SDK-Version, Paketname der bösartigen App sowie Informationen über die installierten Apps.

Im nächsten Schritt antwortet die URL mit einer verschlüsselten Konfigurationsdatei, welche die vorhandene ersetzt.

Des weiteren kann der Schädling Nachrichten mit einem vom Angreifer angegebenen Absender und Textbaustein in die Inbox des Opfergeräts einfügen sowie Nachrichten an die Telefonnummern aus der Kontaktliste des Nutzers senden. Schließlich ist die Malware in der Lage festzustellen, ob auf einem Gerät ein Root-Kit installiert ist. Für diesen Fall kann der Schädling selbst Pakete installieren und deinstallieren.

 

Nutzer können überprüfen, ob ihre Geräte infiziert sind, indem sie Settings > Applications > Running Services aufrufen und dann den Dienst CelebrateService suchen.

Nutzer können sich auch selbst schützen. Eine Hilfestellung bieten die Trend Micro-Ratschläge „Fünf Schritte gegen Android-Malware“.

Anwender der Trend Micro-Lösungen sind über das Smart Protection Network vor dieser Gefahr geschützt, denn die Web Reputation Services erkennen und blockieren die für den Missbrauch zuständigen URLs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*