Vermutlich erstes Android-Botnet aufgetaucht

Normalerweise ist Spam nichts Besonderes. Aber wenn Spam aus einem Android-Botnet stammt, hat das noch Seltenheitswert. Sicherheitsforscher prognostizieren zudem eine wahre Schwemme von Android-Malware, ein US-Professor hat zudem “ganz einfach” das erste Rootkit für Android entwickelt.

Dass es immer wieder verseuchte Anwendungen in verschiedene Android-Appstores schafft, ist längst bekannt. Jetzt allerdings soll es Cyberkriminellen gelungen sein, ein Bot-Net aus gekaperten Android-Geräten aufzubauen.

Zumindest glaubt der Microsoft-Angestellte Terry Zink ein solches gefunden zu haben, wie er in einem Blog mitteilt.

Für den Android-Konkurrenten ist eine derartige Meldung natürlich Gold wert. Nachdem aber Android einen Marktanteil von rund 50 Prozent hat, wird diese Plattform natürlich auch für Kriminelle ein lohnendes Ziel.

Zink habe laut eigenen Angaben Spam-Mails analysiert und diese sollen in der Message-ID Hinweise enthalten, dass sie von Android-Geräten stammen. So soll in einigen der Hinweis “Gesendet via Yahoo Mail auf Android” enthalten (Message-ID: 1341147286.19774.androidMobile@web140302.mail.bf1.yahoo.com). Daraus schließt Zink, dass die Kriminellen über gekaperte Android-Geräte auf Yahoo-Accounts zugreifen und darüber Penny-Stock-Spam verschicken.

Über die IDs lassen sich auch die Herkunfsländer ermitteln. Demnach stamme der Spam aus Ländern wie Chile, Russland, China oder der Ukraine.

Trend Micro warnt ebenfalls vor dem wachsenden Sicherheitsrisiko bei Android. Wie der Sicherheitshersteller mitteilt, sei die Zahl von infizierten oder bösartigen Anwendungen seit Januar 2012 um 400 Prozent von 5000 auf 20.000 gewachsen. Die Forscher glauben, dass bis Jahresende sogar 130.000 bösartige Anwendungen für Android existieren werden.

Zudem hat der Informatikprofessor Xuxian Jiang von der North Carolina State University, das erste Rootkit für das Mobilbetriebssystem Android demonstriert. Damit lässt sich Malware auf Smartphones und Tablets laden.

Das Rootkit verfügt über zusätzliche Funktionen und kann Browseraktivitäten auswerten, indem es den ursprünglichen Browser durch eine eigene Entwicklung ersetzt. Ein solches Verfahren wäre auch für jede andere Android-App realisierbar. Die genutzten Schwachstellen ziehen sich durch alle Android-Versionen bis zur aktuellen 4.0.4 durch.

Jiang zufolge zählt zu den Besonderheiten, dass das Rootkit ohne Neustart funktioniert und keine “tiefe Modifikation” des Android-Kernels vornimmt. “Es würde einen raffinierteren Angriff ermöglichen als alle bisher bekannte Malware und ist genau auf die Smartphone-Plattform zugeschnitten. Das Rootkit zu entwickeln war nicht sehr schwer. Keine heute existierende Schutzlösung erkennt es.” Allerdings sei es eine gute Nachricht, dass das Problem identifiziert wurde: Man könne nun Gegenmaßnahmen einleiten.

[mit Material von Zack Whittaker, News.com und Florian Kalenda, ZDNet.de]