Android: Neuer Install-It-Yourself-Trojaner im Umlauf
Stefan Keller, den 4. Mai 2012Android-Anwender müssen einmal mehr ein wachsames Auge beweisen, wenn sie auf unbekannten Seiten surfen. Wie Sophos meldet, ist ein neuer Trojaner im Umlauf, der per Drive-By-Attacke dem Anwender einen Trojaner unterjubelt. Dabei ruft der nichts ahnende Surfer eine manipulierte Webseite auf. Diese überprüft die Browserkennung und im Erfolgsfall (wenn „Android“ enthalten ist), wird der Download eines Installers gestartet.
Die Masche an sich ist nicht unbekannt und heißt in Anti-Viren-Kreisen Troj/Iframe-HX. Der Anwender trägt in diesem Fall aber sozusagen „selber Schuld“, wenn der Trojaner tatsächlich zur Gefahr wird, denn aus freien Stücken wird nur der Installer (.apk) heruntergeladen – installieren muss der Besitzer des Android-Phones die Malware selbst. Als „com.Security.Update“ getarnt liegt das Paket schließlich im Download-Ordner.
Welche Risiken gibt es?
Noch ist man sich a href=“http://nakedsecurity.sophos.com/2012/05/03/notcom-malware-for-android-distributed-using-drive-by-downloads/“ target=“_blank“>nicht genau sicher, was die Malware genau vorhat, auf jeden Fall will der Autor offensichtlich keine Kontaktdaten abgreifen. Die Malware ist beim obligatorischen „Permissions“-Check schon mit dem kompletten Netzwerkzugriff zufrieden. Deshalb geht Sophos davon aus, dass es sich bei dem Trojaner um einen Proxy handelt.
Ursprung Russland?
Weiterhin ist anzunehmen, dass der Ursprung des Trojaners Russland sein könnte. Jedenfalls ist eine der Domains, die angesprochen wird, „3na3budet9 Punkt ru“, was auf Deutsch so viel bedeutet wie „3 mal 3 ergibt 9“ – also ist der Urheber zumindest der russischen Sprache (einigermaßen) mächtig.
Wie immer in diesem Fall gilt: Keine nicht vertrauenswürdigen Dinge installieren, besonders dann nicht, wenn man nicht weiß, dass man sie sich bewusst heruntergeladen hat.