Android-Trojaner kapert Smartphones

Obwohl das Jahr 2016 noch ziemlich jung ist, wurde bereits eine Reihe von extrem gefährlichen Schadprogrammen entdeckt, die vor allem Smartphone-User ins Visier nehmen. Zuletzt sorgte u.a. ein besonders fieser Android-Virus für Aufsehen. Und nun haben die Sicherheitsexperten von Kaspersky Lab schon wieder eine neue, sehr komplex und modular arbeitende Malware identifiziert, die sich gegen die Android-Plattform richtet. Die Schädlingsversionen von „Triada“ nisten sich im Hauptspeicher eines infizierten Geräts ein und sind daher kaum zu erkennen und zu entfernen. Zudem können sie nach der Installation laufende Prozesse von Android modifizieren (Zygote-Prozess). Zu den negativen Auswirkungen der Triada-Infektionen gehört das Abfangen von In-App-Kaufprozessen per SMS.

Ausgeklügelt
Laut den Experten waren im vergangenen Jahr elf der 20 am weitesten verbreiteten Trojaner in der Lage, sich Zugriffsrechte für Verwaltungsaufgaben auf Android-Geräten (Superuser) zu verschaffen und so unbemerkt vom Nutzer Apps auf einem infizierten Gerät zu installieren. Zu dieser Kategorie gehören die mobilen Trojaner-Familien Ztorg, Gorpo und Leech, deren Hintermänner – wie jetzt bekannt wurde – miteinander kooperieren und gemeinsam die Triada Plattform einsetzen. Wird ein Gerät mit Ztorg, Gorpo oder Leech infiziert, können infizierte Geräte durch die bereits erlangten Administratorrechte den Triada-Downloader herunterladen und nachinstallieren. Dieser wiederum agiert als Startplattform und ist in der Lage, weitere Module der Triada-Schadsoftware nach zu installieren und entsprechende Funktionen nachzurüsten.

Geld landet bei Hackern statt bei Spiele-Anbietern
„Die Komplexität von Triada zeigt, dass hier äußerst professionelle Cyberkriminelle am Werk sind, die tiefgehende Kenntnisse über die Android-Plattform besitzen“, sagt Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab. Triada modifiziert vor allem SMS-Mitteilungen, die von anderen Apps verschickt werden. Werden also zum Beispiel innerhalb einer Anwendung, etwa einem Spiel, via Kurzmitteilung In-App-Käufe getätigt, könnten die hinter Triada steckenden Cyberkriminellen diese SMS so modifizieren, dass das Geld bei ihnen statt bei den Spieleentwicklern ankommt.

Grafik zeigt, wie Triada arbeitet:

Lösung
Triada wurde bislang in folgenden Versionen identifiziert: Trojan-Downloader.AndroidOS.Triada.a, Trojan-SMS.AndroidOS.Triada.a, Trojan-Banker.AndroidOS.Triada.a beziehungsweise Backdoor.AndroidOS.Triada. Einmal installiert, lässt sich die Malware kaum mehr von den Geräten entfernen. Den Anwendern bleibt nur, das Gerät komplett neu zu „rooten“ und die schadhaften Anwendungen manuell zu entfernen. Alternativ muss ein Jailbreak des Android-Systems durchgeführt werden.