Adware-Trojaner befällt Android-Geräte

Eine Malware, die sich täuschend echt als eine beliebte Anwendung tarnt, installiert sich so tief auf Android-Geräten, dass ein entfernen häufig nicht mehr möglich ist.

Eine neue Android-Adware blendet nicht nur Anzeigen ein, sondern kann auch heimlich Geräte rooten. Dadurch kann sich der Schädling so sich tief im System verankern, dass es nahezu unmöglich ist, den Adware-Trojaner wieder zu entfernen, wie das Sicherheitsunternehmen Lookout warnt.

Lookout nennt den Schädling eine “trojanisierte Adware”. Diese imitiert teilweise täuschend echt die Anwendungen von Facebook, Snapchat, Twitter oder Whatsapp. Die Sicherheitsforscher haben nach eigenen Angaben über 20.000 mit Adware verseuchte Klone solcher offiziellen Programme entdeckt – jedoch nicht bei Google Play, sondern ausschließlich in Drittanbieter-App-Stores.

Lookout zufolge verhalten sich die schädlichen Klone oftmals wie die Originalprogramme, sodass sie zunächst keinen Verdacht erregen. Lädt der Nutzer solch einen Klon aus einem Drittanbieter-App-Store herunter, versucht dieser, das Smartphone oder Tablet zu rooten und so unbeschränkten Zugriff auf das System zu erhalten. Dadurch werden die Sicherheitsmechanismen von Android nutzlos und Angreifer erhalten zusätzliche Möglichkeiten, eine Attacke zu starten. Durch regelmäßige Werbeeinblendungen generieren die Apps im Anschluss Geld für die Angreifer.

Trojanised Adware nennt Lookout die Malware, die sich tief auf Android-Geräten einnistet. (Bild: Lookout)
Trojanised Adware nennt Lookout die Malware, die sich tief auf Android-Geräten einnistet. (Bild: Lookout)

“Weil diese Art Adware das Gerät rootet und sich selbst als Systemanwendung installiert, ist es nahezu unmöglich, sie zu entfernen. Dadurch sind Opfer normalerweise gezwungen, ihr komplettes Gerät auszutauschen, um wieder den Normalzustand herzustellen”, schreibt Lookout in einem Blog.

Das Sicherheitsunternehmen hat mindestens drei ähnliche Familien dieser Trojaner-Adware für Android identifiziert, die alle die gleichen Exploits nutzen: Shuanet, Kemoge (alias ShiftyBug) und Shudun (alias Ghost Push). “Zusammen sind diese drei für über 20.000 neu gepackte Apps verantwortlich, einschließlich Oktas Zwei-Faktor-Authentifizierungsprogramm.”

Ein großes Problem, insbesondere in Hinblick auf Enterprise-Anwendungen wie Okta, besteht darin, dass diese Schadprogramme sich heimlich Zugang zu Daten verschaffen können, einschließlich geheimer Firmeninformationen. Am häufigsten verbreitet sind sie Lookout zufolge in den USA und in Deutschland. Sie finden sich aber auch in anderen Ländern mit einem hohen Android-Anteil wie Russland, Brasilien und Mexiko. Laut den Sicherheitsforschern ist davon auszugehen, dass sich solche trojanisierte Malware mit der Zeit noch weiterentwickeln wird.

[mit Material von Björn Greif, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de