Viren und Trojaner auf Smartphones sind immer noch ein Thema, das, obwohl die Bedrohung praktisch täglich größer wird, von kaum jemandem ernst genommen wird. Sowohl Kaspersky als auch McAfee haben nun besonders heimtückische Trojaner entdeckt die sich tief im System einnisten und dem Besitzer eine hohe Telefonrechnung bescheren oder gar das gesamte Konto leerräumen.
Der von Kaspersky gefundene Trojaner Backdoor.AndroidOS.Obad.a nistet sich nach der Installation so tief in das System ein, dass er selbst mit Root-Zugriff nicht mehr vom Smartphone entfernt werden kann. Dazu nutzt er eine Kombination aus gleich 3 Android-Sicherheitslücken aus und taucht dadurch in keiner App-Liste auf und kann daher auch von keinem einem Virenscanner entdeckt werden.
Der Trojaner selbst läuft stets im Hintergrund und ist für den Nutzer nicht sichtbar, muss sich also selbst nicht als fremde App ausgeben. Er nimmt in gewissen Zeitabständen Verbindung zu einem Control-Server auf und übermittelt diesem verschlüsselt die MAC-Adresse, IMEI-Nummer, Telefonnummer und den Namen des Besitzers und aktualisiert seine Liste mit SMS-Premium-Diensten. Und genau durch diese fügt er dem Nutzer erheblichen Schaden zu.
Obad.a sendet SMS an Premium-Dienste und verursacht dem Besitzer der SIM-Karte dadurch hohe Kosten. Eingehende und Ausgehende SMS werden von der App außerdem im Hintergrund analysiert und im Bedarfsfall gelöscht – so dass der Nutzer keine automatischen Antworten sieht oder die Möglichkeit hat die Abos der Premium-Dienste zu kündigen.
Der Trojaner verbreitet sich sowohl per SMS, mit einem Downloadlink, oder auch per Bluetooth. Befinden sich offene Bluetooth-Geräte in der Nähe, verschickt sich der Trojaner selbst an den nächsten Wirt und setzt sein Treiben dort fort. Außerdem ist in der Lage, selbst weitere Schadsoftware aus dem Internet nachzuladen und unbemerkt auf dem Gerät zu installieren.
Trojaner #2 räumt das Bankkonto leer
Der von McAfee gefunde Trojaner geht sogar noch einen Schritt weiter und kann bei seinem unbedarftem Nutzer für ein leeres Bankkonto sorgen: Der Download-Link zum Trojaner wird per SMS oder eMail verbreitet und gibt sich als notwendiges Update einer bestehenden Onlinebanking-App aus. Derzeit sind zum großen Teil nur südkoreanische Nutzer betroffen, aber auch in Deutschland soll es schon Fälle mit einer vermeintlichen Postbank-App geben.
Der installierte Trojaner gibt sich dann als App der Bank aus und ist der originalen App nachempfunden – so dass der Nutzer erst einmal keinen Verdacht schöpft. In der App werden nun alle notwendigen Daten vom Nutzer abgefragt. Zusätzlich überwacht die App auch die eingehenden SMS und fängt dabei mTAN-Nummern der echten Onlinebanking-App ab und überträgt diese Nummern an den Server des Trojaner-Entwicklers. Die SMS selbst wird gelöscht, so dass der Nutzer diese niemals zu Gesicht bekommt.
Ausgestattet mit den Zugangsdaten, der Bankverbindung und einer frischen Liste von TAN-Nummern können die Angreife nun seelenruhig das Bankkonto des Nutzers leer räumen. Ganz nebenbei nimmt auch dieser Trojaner Kontakt zu Premium-Diensten auf und treibt die Handy-Rechnung in die Höhe…
—
Wahrscheinlich muss es erst einige großangelegte Angriffe auf Smartphones und Bankkonten geben, bevor sich der Durchschnittsnutzer einen Virenscanner installiert und auch auf dem Smartphone nicht auf jeden vorgesetzten Link klickt. Aber diesen Fehler macht jeder sicher nur einmal…
[heise]