Die gefährliche Fake-App schaffte es sogar in den offiziellen Google Play Store.
Der IT-Sicherheitsspezialist ESET hat in diesem Jahr erstmals einen DDoS-Angriff per Mobile-Botnet aufgedeckt. Bei einer derartigen Attacke werden Webseiten mit derart vielen Anfragen bombardiert, dass sie schließlich zusammenbrechen. In diesem Fall attackierten die Täter mit infizierten gekaperten „Zombie-Smartphones“ die internationale ESET-Webseite. Der erfolgreich abgewehrte Angriff ermöglichte es den Security-Experten, dieses neu aufkommende Angriffsszenario und die dahinterliegenden Strukturen zu analysieren. „DDoS-Angriffe werden normalerweise immer noch über PCs oder Server realisiert. Die Zeiten ändern sich jedoch gerade. Mobile Geräte werden leistungsfähiger und ihre Internetanbindung wird schneller“, erklärt Lukas Stefanko, Android Malware Researcher bei ESET.
>>>Nachlesen: Achtung: Diese 17 Android-Apps sofort löschen
"Zombie-Smartphones" mittels Fake-App
Die nun veröffentlichten Ergebnisse der Analysen ergaben, dass die DDoS-Attacke mithilfe einer App namens „Updates for Android“ erfolgte, die bis Jänner 2020 mehr als 50.000 Downloads verzeichnete. Um der Anwendung einen legitimen Touch zu verleihen und diese zu bewerben, stellten die Angreifer eine eigens dafür eingerichtete Webseite online. Zudem setzten die Cyberkriminellen auf ein zweistufiges Vorgehen: In der ursprünglichen Version fehlte der Anwendung die bösartige Funktionalität. Das erklärt auch, warum es die App in den Play-Store geschafft hatte. Erst zwei Wochen vor dem Angriff wurde die Malware per Update ausgespielt und in die installierte App implementiert.
Analog zu einem PC-Botnet ermöglichte der Schadcode, jedes infizierte Smartphone individuell anzusteuern. Die für einen DDoS-Angriff notwendigen Befehle verteilten die Kriminellen dann per Command & Control Konsole. Im Sekundentakt riefen so die ferngesteuerten Zombie-Smartphones die anvisierten Webseiten auf. An der durchgeführten Attacke, die circa sieben Stunden andauerte, waren etwa zehn Prozent der infizierten Geräte beteiligt.
>>>Nachlesen: Achtung: Android-Trojaner trickst Banking-Apps aus
Botnet ungewollt offengelegt
Die Ziele des Angriffs bleiben indes im Dunkeln. „Wir können nur spekulieren“, sagt Stefanko. „Unter dem Strich war der einzige Effekt des Angriffs, dass die Angreifer ihr Botnetz offengelegt haben. Praktisch existiert dieses DDoS-Tool nicht mehr.“ Die entsprechende App wurde an Google gemeldet und umgehend aus dem Play Store entfernt. Die Anwendung kann allerdings noch aus inoffiziellen Quellen bezogen werden. Moderne Sicherheitslösungen erkennen den Trojaner als Trojan.Android/Hiddad.AJN.
Aufgrund dieser Erfahrungen bestehe nun die Möglichkeit, dass ESET ähnliche Trojaner an Google melden könne. Einige der Verbesserungen wurden bereits in die Technologien implementiert, die innerhalb von Googles App Defense Alliance zum Einsatz kommen, zu der auch die Security-Firma gehört.
