Eine neue Malware versucht, Zahlungen von In-App-Käufen umzuleiten, und geht dabei unerfreulich raffiniert vor.
Auch interessant: Kauft keine Günstig-Tablets aus China von Amazon! – Sie sind mit Malware verseucht
Das Sicherheitsunternehmen Kaspersky hat eine neue Malware entdeckt, die Android-Smartphones und -Tablets befällt. Das Ziel dieser „Triada“ getauften Malware besteht hauptsächlich darin, SMS-Nachrichten zu verändern, die von anderen Apps abgeschickt werden – um auf diese Weise In-App-Kaufprozesse, die per SMS ablaufen, zu kapern und dafür zu sorgen, dass die Kaufsumme auf dem Konto der Cyber-Ganoven statt auf dem der App-Entwickler landet.
Besonders gefährdet sind Geräte mit der Android-Version 4.4.4 oder älter.
Trojaner der Familien Ztorg, Gorpo und Leech können sich Superuser-Rechte auf dem Smartphone verschaffen – um anschließend den Triada-Downloader herunterzuladen und zu installieren. Der dann seinerseits weitere Module der Triada-Schad-Software installiert.
Das Heimtückische an der Triada-Software: Sie klinkt sich in den „Zygote“-Prozess des Betriebssystems ein, der als Vorlage für die Ausführung fast aller Android-Apps dient. So dass die Malware die Funktionen von Apps verändern kann, die auf dem Gerät gestartet werden.
„Wir sehen eine derartige Technik erstmals in freier Wildbahn. Bisher wurde die Ausnutzung des Zygote-Prozesses nur als Proof-of-Concept umgesetzt“, erläutern die Kaspersky-Mitarbeiter Mikhail Kuzin und Nikita Buchka.
Christian Funk, der Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab, fügt hinzu: „Die Komplexität von Triada zeigt, dass hier äußerst professionelle Cyberkriminelle am Werk sind, die tiefgehende Kenntnisse über die Android-Plattform besitzen.“
Das Deinstallieren der Triada-Malware ist laut Kaspersky schwierig: Der Anwender müsse sein Gerät rooten und dann die befallenen Anwendungen manuell entfernen.
Und was muss man anstellen, um sich diese Schad-Software einzufangen? Laut Kaspersky verbreitet sie sich hauptsächlich über das Installieren von Apps aus „nicht autorisierten Quellen“. „Gelegentlich findet sich die Schadsoftware aber auch als Spiel oder Unterhaltungssoftware in Google Play getarnt, wird im Zuge gängiger Updates auf ein Gerät eingeschleust oder ist dort bereits vorinstalliert.“
Die Mehrzahl der betroffenen Anwender befindet sich bislang in Russland, Indien, der Ukraine und im asiatisch-pazifischen Raum.
Quelle: Kaspersky Lab