Mobile Trojaner aus Russland als „Exportschlager“ | Kaspersky Lab DE

Mobile Trojaner aus Russland als „Exportschlager“

30. April 2014
Spam-News, Viren-News

Kaspersky Lab beobachtet bei vermeintlich aus Russland stammenden mobilen Schädlingen einen Trend hin zur Internationalisierung. Mobile Android-Trojaner wie „FakeInst“, „Stealer“ oder „Faketoken“ können von Cyberkriminellen einfach regionalen Begebenheiten angepasst werden und tauchen daher zunehmend in Europa und Nordamerika auf. Die Schädlinge haben auch deutsche Nutzer im Visier, bisher allerdings noch auf geringem Niveau.

„Cyberkriminelle sind in der Lage, erfolgreiche Betrugsschemata schnell für andere Länder zu lokalisieren und an regionale Eigenheiten zu adaptieren“, erklärt Christian Funk, Senior Virus Analyst bei Kaspersky Lab. „Noch besteht für deutsche Nutzer eine geringe Infizierungsgefahr. Allerdings sollten Android-Nutzer in Deutschland sich mit der Funktionsweise und den möglichen Konsequenzen von mobiler Malware auseinandersetzen. Denn SMS- und Banking-Trojaner werden in naher Zukunft verstärkt auf Smartphone- und Tablet-Besitzer beziehungsweise deren Daten und Geld abzielen.“

„FakeInst“ lockt weltweit mit Pornovideos

Der SMS-Trojaner „Trojan-SMS.AndroidOS.FakeInst.ef“ [1] attackiert derzeit Android-Nutzer in 66 Ländern weltweit, darunter auch europäische Anwender aus Deutschland, Frankreich, Großbritannien und der Schweiz. Der Schädling scheint von russischsprachigen Cyberkriminellen zu stammen. Ursprünglich ist er in Russland und der Ukraine sehr aktiv. Neuerdings greift „FakeInst“ verstärkt mobile Anwender aus den USA und Kanada an [2].

Bei „FakeInst“ handelt es sich um eine schädliche App, mit der Nutzer angeblich pornografische Filme ansehen können. Nachdem ein Anwender die App heruntergeladen, installiert und geöffnet hat, wird er aufgefordert, eine SMS-Nachricht zu senden, um bezahlte Inhalte von der App zu erwerben. Dank einer großen Datenbank kann der Schädling Premium-SMS-Nachrichten in 66 Länder weltweit versenden. Zudem ist „FakeInst“ In der Lage, eingehende SMS-Nachrichten mitzulesen, zu löschen und sogar darauf zu antworten.

„Stealer“ treibt bereits in Deutschland sein Unwesen

Der-Trojaner „Trojan SMS-SMS.AndroidOS.Stealer.a“ [3] machte fast ein Viertel (22,8 Prozent) aller zwischen Januar und März 2014 von Kaspersky Lab blockierten mobilen Attacken weltweit aus. Damit belegt „Stealer“ mit Abstand den ersten Platz in der Top-20-Liste mobiler Schädlinge [4]. Das Schadprogramm wird aktiv von Cyberkriminellen in Russland verbreitet. Kaspersky Lab sieht jetzt allerdings ein verstärktes Aufkommen in Europa und Asien. So macht der SMS-Trojaner deutschen Nutzern beispielsweise mehr zu schaffen als in den anderen Ländern Westeuropas [5].

Der SMS-Trojaner integriert eine Konfigurationsdatei, die es dem mobilen Schädling ermöglicht, Nutzer in verschiedenen Ländern der Welt zu attackieren. So kann er eigenständig bestimmen, in welcher Region er ausgeführt wird und anschließend den Inhalt der versendeten Textnachricht und die Adressnummern entsprechend anpassen. Bisher war der Trojaner in insgesamt 14 Ländern aktiv, darunter auch in Deutschland.

Der Schädling wird über legitime Apps verbreitet und bietet die klassischen Funktionen eines SMS-Trojaners: Er kann Befehle eines Kommando-Servers empfangen und ausführen, wird über HTTP verwaltet und nutzt BASE64- und GZip-Kodierung. Er ist in der Lage, Webseiten zu öffnen, SMS-Nachrichten zu blockieren und zu versenden, Standortdaten einzusehen, Apps zu installieren, den „Debugging“-Modus zu deaktivieren beziehungsweise zu aktivieren oder System- und Nutzerdaten einzusehen und umzustellen. Der Anwender bekommt davon nichts mit.

Erstes Quartal: Verdoppelung mobiler Banking-Trojaner

Ein weiterer Trend in Russland ist der rasante Anstieg der Verbreitung mobiler Banking-Trojaner [6]. Ende des vergangenen Jahres 2013 kannte Kaspersky Lab noch 1.321 einzelne mobile Banking-Trojaner. Ende des ersten Quartals 2014 waren es bereits 2.503 solcher Schädlinge.

Nach wie vor sind diese Bedrohungen besonders akut in Russland, Kasachstan, Weißrussland und in der Ukraine. Allerdings hegen auch Banking-Trojaner immer mehr internationale Ambitionen. So tauchte der Banking-Trojaner „Faketoken“ in bisher 55 Ländern auf – darunter auch Deutschland. Dieser Schädling ermöglicht Cyberkriminellen Zugriff auf das Bankkonto des infizierten Nutzers. Anschließend werden mTAN-Nummern abgefangen und Geld von den Konten der Opfer auf die der Cyberkriminellen überwiesen [7].

Derzeit haben es 99 Prozent der Schädlinge für Smartphones und Co. auf die Google-Plattform Android abgesehen.

[1] http://www.securelist.com/en/blog/8209/An_SMS_Trojan_with_global_ambitions

[2] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/Pictures_etc._NOT_for_Media_section/Kaspersky_Grafik_The_geographical_distribution_of_FakeInst_infections.png

[3] http://www.securelist.com/en/blog/8208/New_threat_Trojan_SMS_AndroidOS_Stealer_a

[4] http://www.viruslist.com/de/analysis?pubid=200883851#p35

[5] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/Pictures_etc._NOT_for_Media_section/Kaspersky_Grafik_Trojan-SMS.AndroidOS.Stealer.a_geography.png

[6] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/Pictures_etc._NOT_for_Media_section/Kaspersky-Infografik_MalwareQ1_Mobile_ENG.png

[7] http://newsroom.kaspersky.eu/de/texte/detail/article/jede-zehnte-web-attacke-weltweit-kommt-aus-deutschland/?no_cache=1&cHash=77f68d30f40df2803ea56df615b3fb9b

Nützliche Links:

 Share this page