Android-Malware: Intelligente Weiterentwicklungen auf dem Vormarsch

Technologie

Android-Malware wächst und entwickelt sich ständig weiter und folgt dabei Pfaden, die zuerst unter Windows bestanden. Seit der ersten Entdeckung von Android-Malware im August 2010 haben wir gut über 300 Malware-Familien verzeichnet. Und wir konnten erkennen, dass das Android-Malwaresystem vielen Pfaden folgt, die vor Jahren durch Windows-Malware errichtet wurden. In letzter Zeit konnten bei der Android-Malware viele Neuerungen hinsichtlich der Umgehung und Bekämpfung von Erkennungsmechanismen beobachtet werden. Ein Beispiel hierfür ist Ginmaster. Dieser zuerst im August 2011 in China entdeckte Trojaner wird in viele legitime Apps injiziert, die auch über Drittanbieter verteilt werden. 2012 konnte Ginmaster der Erkennung entgehen, indem Klassennamen verschleiert und URLs und C&C-Anweisungen verschlüsselt wurden. Er setzte Polymorphismus-Verfahren ein, die in Windows-Malware allgegenwärtig sind. 2013 implementierten die Entwickler von Ginmaster eine noch viel komplexere Verschleierung und Verschlüsselung, mit der diese Malware noch schwieriger zu erkennen und durch Reverse Engineering zurückzuentwickeln ist. Seit Anfang 2012 können wir mit jedem Quartal einen Zuwachs bei der Erkennung von Ginmaster verzeichnen, wobei wir über 4.700 Beispiele zwischen Februar und April 2013 vorweisen können.

Jüngst tauchten Berichte über ein groß angelegtes Botnet auf, das die Android-Geräte ähnlich wie die Botnets kontrolliert, die auch PCs gesteuert haben. Dieses Botnet, das Sophos als Andr/GGSmart-A identifiziert, scheint sich jedoch momentan nur auf China zu beschränken. Es verwendet zentrale Befehls- und Kontrollsystem, um alle infizierten Mobilgeräte anzuweisen, beispielsweise Premium-SMS-Nachrichten zu senden, die dem Besitzer des Geräts in Rechnung gestellt werden. Anders als die typischen Android-Angriffe kann es die die Premium-SMS-Nummern ändern und steuern und sogar angeschlossene Systeme über das gesamte große Netzwerk hinweg. Dadurch ist es besser organisiert und wahrscheinlich auch gefährlicher als die Android-Malware, die wir bisher kennen.

Ransomware hält sich schon lang und beharrlich – die ersten Versionen wurden bereits von 25 Jahren entdeckt. Für diejenigen, die es nicht kennen: Ransomware sorgt dafür, dass Sie nicht mehr auf Ihre Dateien oder Geräte zugreifen können und verlangt anschließend „Lösegeld“. Im Juni 2013 stieß der Experte Rowland Yu von Sophos auf die erste Ransomware-Attacke auf Android-Geräte. Dieser hybride falsche Antivirus-/Ransomware-App namens Android Defender verlangte eine Zahlung von 99.99 $, um den Zugriff auf Ihr Android-Gerät wiederherzustellen. Beim Starten verwendet Android Defender verschiedene Social-Engineering-Tricks und ein unglaublich professionelles Äußeres, um mehrfach nach Administratorenrechten für das Gerät zu fragen. Wenn diese Rechte erteilt werden, kann der Zugang zu allen anderen Anwendung einschränkt werden, sodass es unmöglich ist, Anrufe zu tätigen, Einstellungen zu ändern, Task zu beenden, Apps zu deinstallieren oder das Gerät auf Werkseinstellungen zurückzusetzen. Egal, was der Benutzer macht, es wird eine Warnmeldung zur Infektion auf dem Bildschirm angezeigt. Es kann sogar die Schaltflächen „Back/Home“ deaktivieren und bei Neustart starten, um der Entfernung zu entgehen. Das einzige, was Android Defender nicht macht, ist Ihren Inhalt oder Ihre Daten zu verschlüsseln. Es würde uns jedoch wundern, wenn wir in unserem Threat Report im nächsten Jahr nicht über Verschlüsselungsattacken berichten werden.

Leave a Reply

Your email address will not be published.