Die Warnungen vor Flash reißen nicht ab. Diesmal handelt es sich aber nicht um die echte Software von Adobe, sondern um eine Malware, die sich als Flash-Update ausgibt. Der Trojaner "Android/TrojanDownloader.Agent.JI" wird laut Eset über verseuchte Webseiten verbreitet. Der Sicherheitsanbieter nennt als mögliche Quellen "Videoportale für Erwachsene" und Social Media.
Die Seiten gaukeln dem Besucher vor, dass angeblich ein wichtiges Update für den Flash-Player zum Download bereitsteht. Fällt der Surfer darauf herein und installiert die Malware, dann wird er laut Eset im folgenden Schritt aufgefordert, einen "Saving Battery"-Modus zu aktivieren. Bei diesem handelt es sich um einen Android-Dienst, der "Berechtigungen zum Überwachen jeglicher Aktionen, zum Abrufen des Fensterinhalts und zum Erkennen von Berührungen auf dem Bildschirm" umfasst.
Sobald der Dienst aktiviert ist, kommuniziert er nach Erkenntnissen von Eset intensiv mit einem Command & Control-Server (C&C) der Kriminellen. Einerseits lädt die Malware jetzt Informationen über das verseuchte Gerät hoch, andererseits kann sie auch neuen Schadcode herunterladen und installieren. Eset weist darauf hin, dass hier auch Banking-Malware auf dem Smartphone des Anwenders landen kann.
"In den von uns untersuchten Fällen wurde dieser Trojaner programmiert, um einen weiteren Trojaner herunterzuladen, der wiederum Geld von Bankkonten abschöpft", sagte Lukáš Štefanko, Malware Researcher bei Eset. Es bedürfe nur einer kleinen Änderung im Code, um weitere Spyware oder Ransomware einzuschleusen.
Tarnung hinter einem Lockscreen
Mit einem vorübergehend eingeblendeten, gefälschten Lockscreen verbergen die Kriminellen ihre Aktivitäten auf dem befallenen Gerät. Ob eine Infektion mit dem Schädling vorliegt, lässt sich laut Eset in dem "Eingabehilfe"-Menü überprüfen. Taucht dort der "Saving Battery"-Dienst auf, ist das Gerät vermutlich verseucht. Der Sicherheitsanbieter empfiehlt in diesem Fall, den angeblichen Flash-Player wieder zu deinstallieren. Eventuell ist es dazu nötig, der App unter "Einstellungen, Sicherheit, Flash-Player" die Admin-Rechte zu entziehen, schreibt Eset in einem ausführlicheren Blog-Eintrag.
Es müsse anschließend aber davon ausgegangen werden, dass sich bereits weitere Schädlinge auf dem Smartphone befinden. Eset rät deswegen zum Einsatz einer Mobile-Security-Lösung, um das Gerät wieder zu säubern. Angaben zur Verbreitung von Android/TrojanDownloader.Agent.JI machte das Unternehmen nicht.