Site icon Sophos News

Erster Malware-Star 2018: SkyGoFree attackiert Android-Smartphones

 

Noch nicht mal drei Wochen ist das neue Jahr alt, da kristallisiert sich mit der Spyware SkyGoFree bereits der erste Anwärter für die Schadsoftware 2018 heraus. Die gute Nachricht: man kann sich schützen.

Was macht SkyGoFree auf den Geräten?
Ein Blick auf den Java Code offenbart viel Heimtückisches, inklusive einer Funktion, die StartReverse () heißt: sie verbindet das Handy mit einem Server der Kriminellen, um diesen eine so genannte Reverse Shell zu geben, also einen Kommandozeileninterpreter . Bei Unix- und Linux-Systemen Shell genannt. Normalerweise benötigt man dafür eine initiale Verbindung zu einem Gerät, und damit Durchgang durch Firewalls und die Übersetzung der Netzwerk-Adressen, die dazwischen sind. Viele mobile Netzwerke und nahezu alle Wi-Fi-Netzwerke lassen abgehende Verbindungen zu anderen Personen zu, verhindern aber Eingehende. Man muss schon ein Client, also ein Datennutzer, auf dem Netzwerk sein, kein Datenproduzent (Server). Hacker umgehen dieses Prinzip mit einer Reverse Shell, einem üblichen Trick, der den Log-on Prozess auf den Kopf stellt: das verwendete Gerät ermöglicht die Verbindung zu den Hackern nach außen, aber nur um die Verbindung aufzubauen. Danach verhält sich das Gerät wie ein Server, auf dem die Kriminellen sich als Clients zuschalten. Eingelogged mit direkter Kontrolle über das Gerät.

SkyGoFree hat noch ein weiteres Merkmal: es erlaubt den Kriminellen Daten von zahlreichen anderen Applikationen auf dem Gerät zu sammeln. SkyGoFree hat zudem eine Komponente, die weitere Schadsoftware downloaden und installieren kann – eine Art Plug-In-System für Malware. Schadsoftware wird oft so programmiert, dass es sich selbst aktualisieren oder erweitern kann. Ein ernsthaftes Problem, denn niemand kann sicher sein, was die Kriminellen mit den infizierten Geräten vorhaben.

Die gute Nachricht: auf einem regulären AndroidSmartphonekönnen Apps untereinander nicht blind irgendwelche Daten lesen. Es sei denn, das Gerät ist sehr alt und ohne aktuelle Updates, wodurch eineeineSicherheitslückeausgenutzt werden kann, die es Malware erlaubt, automatisch Root-Rechte zu bekommen und verborgen im Hintergrund zu arbeiten.

Wie erkennt man SkyGoFree auf seinem Gerät?
Die Sophos Security-Spezialisten haben entdeckt, dass die Malware vorgibt, ein System- Update zu sein. Dazu nutzt es ein grünes Android-Symbol. Wenn ein Nutzer nun die App startet, läuft sie im Hintergrund los und lässt das eigene Icon nahezu sofort verschwinden, so dass der User den Eindruck gewinnt, das Update ist fertig. Zumindest verbleibt die App auf der System Apps-Seite , wo Nutzer sie stoppen und deinstallieren können..

Tipps zum Schutz vor SkyGoFree & Co.:
• Keine Apps aus ungesicherten Quellen wählen. SkyGoFree zum Beispiel ist nicht in Google Play. Um infiziert zu werden, muss der Nuter also unter „Einstellungen/Sicherheit“ die Nicht-Standard Einstellung aktiv einschalten, um App-Installationen von unbekannten Quellen zu erlaubten. Google Play ist sicher nicht das virenfreie Paradies, aber die sicherere Wahl, statt alternative Märkte, unregulierte Android-Foren oder Links, die von Bekannten zugeschickt werden.
• Finger weg von System-Updates, die von Dritten angeboten werden. Gern werden diese mit Zusatz-Features beworben, die offiziell nicht erhältlich sind. Aus gutem Grund.
• Ein Android Anti-Virus Programm verwenden. Die Sophos Mobile Security for Android blockiert Malware und warnt den User vor unsicheren Einstellungen auf dem Gerät. Kostenlos hier erhältlich: Sophos Mobile Security for Android

Exit mobile version