Getarnt als Flash-Update

Eset warnt vor gefährlicher Android-Malware



Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur bei verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security,  Betriebssysteme, Netzwerke, Virtualisierung, Cloud Computing und KI. 
Eine neue Malware macht Android-Smartphones unsicher: Getarnt als Flash-Update installiert sie unter anderem einen gefährlichen Banking-Trojaner.

Die Warnungen vor Flash reißen nicht ab. Diesmal handelt es sich aber nicht um die echte Software von Adobe, sondern um eine Malware, die sich als Flash-Update ausgibt. Der Trojaner "Android/TrojanDownloader.Agent.JI" wird laut Eset über verseuchte Webseiten verbreitet. Der Sicherheitsanbieter nennt als mögliche Quellen "Videoportale für Erwachsene" und Social Media.

"In den von uns untersuchten Fällen wurde dieser Trojaner programmiert, um einen weiteren Trojaner herunterzuladen, der wiederum Geld von Bankkonten abschöpft." Lukas Stefanko, Malware Researcher bei Eset
"In den von uns untersuchten Fällen wurde dieser Trojaner programmiert, um einen weiteren Trojaner herunterzuladen, der wiederum Geld von Bankkonten abschöpft." Lukas Stefanko, Malware Researcher bei Eset
Foto: Eset

Die Seiten gaukeln dem Besucher vor, dass angeblich ein wichtiges Update für den Flash-Player zum Download bereitsteht. Fällt der Surfer darauf herein und installiert die Malware, dann wird er laut Eset im folgenden Schritt aufgefordert, einen "Saving Battery"-Modus zu aktivieren. Bei diesem handelt es sich um einen Android-Dienst, der "Berechtigungen zum Überwachen jeglicher Aktionen, zum Abrufen des Fensterinhalts und zum Erkennen von Berührungen auf dem Bildschirm" umfasst.

Sobald der Dienst aktiviert ist, kommuniziert er nach Erkenntnissen von Eset intensiv mit einem Command & Control-Server (C&C) der Kriminellen. Einerseits lädt die Malware jetzt Informationen über das verseuchte Gerät hoch, andererseits kann sie auch neuen Schadcode herunterladen und installieren. Eset weist darauf hin, dass hier auch Banking-Malware auf dem Smartphone des Anwenders landen kann.

"In den von uns untersuchten Fällen wurde dieser Trojaner programmiert, um einen weiteren Trojaner herunterzuladen, der wiederum Geld von Bankkonten abschöpft", sagte Lukáš Štefanko, Malware Researcher bei Eset. Es bedürfe nur einer kleinen Änderung im Code, um weitere Spyware oder Ransomware einzuschleusen.

Gefälschtes Flash-Player-Update für Android
Gefälschtes Flash-Player-Update für Android
Foto: Eset

Tarnung hinter einem Lockscreen

Mit einem vorübergehend eingeblendeten, gefälschten Lockscreen verbergen die Kriminellen ihre Aktivitäten auf dem befallenen Gerät. Ob eine Infektion mit dem Schädling vorliegt, lässt sich laut Eset in dem "Eingabehilfe"-Menü überprüfen. Taucht dort der "Saving Battery"-Dienst auf, ist das Gerät vermutlich verseucht. Der Sicherheitsanbieter empfiehlt in diesem Fall, den angeblichen Flash-Player wieder zu deinstallieren. Eventuell ist es dazu nötig, der App unter "Einstellungen, Sicherheit, Flash-Player" die Admin-Rechte zu entziehen, schreibt Eset in einem ausführlicheren Blog-Eintrag.

Es müsse anschließend aber davon ausgegangen werden, dass sich bereits weitere Schädlinge auf dem Smartphone befinden. Eset rät deswegen zum Einsatz einer Mobile-Security-Lösung, um das Gerät wieder zu säubern. Angaben zur Verbreitung von Android/TrojanDownloader.Agent.JI machte das Unternehmen nicht.

Zur Startseite