Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Trojaner-Adware kommt als Android-App

Malware »Ewind«

Trojaner-Adware kommt als Android-App

18. April 2017, 20:45 Uhr | Folker Lück

Der Securityanbieter Palo Alto Networks hat mehrere neue Samples der Android-Adware-Familie »Ewind« beobachtet. Ein vollständiger Fernzugriff auf das infizierte Gerät ist nicht ausgeschlossen.

Die Kriminellen hinter der »Ewind«-Adware nutzen einen einfachen, aber effektiven Ansatz: Sie laden eine beliebte, reguläre Android-App herunter, dekompilieren sie, fügen ihre schädlichen Routinen hinzu und verpacken dann das Android-Anwendungspaket (APK) neu. Sie verteilen dann die »trojanisierte« Anwendung über ihre eigenen Android-App-Sites.

Zu den beliebtesten Android-Anwendungen, auf die es Ewind abgesehen hat, zählen GTA Vice City, AVG cleaner, „Minecraft - Pocket Edition, Avast!“, Ransomware Removal, VKontakte und Opera Mobile. Grundsätzlich handelt es sich bei Ewind um Adware - die Monetarisierung erfolgt also durch die Anzeige von Werbung auf dem Opfer-Gerät. Aber: Ewind enthält jedoch auch andere Funktionen wie das Sammeln von Gerätedaten und Weiterleiten von SMS-Nachrichten an den Angreifer. Die Trojaner-Adware ermöglicht vermutlich sogar einen vollständigen Fernzugriff auf das infizierte Gerät. Die Apps, die injizierte Werbung, die App-Server-Standorte und, so die Indizien, auch die Angreifer sind alle russischen Ursprungs.

Palo Alto Networks hat mit seinem Cloud-Dienst »AutoFocus« eine große Anzahl von umverpackten APKs beobachtet, die mit demselben verdächtigen Zertifikat signiert sind. Mit dem Kommandozeilen-Tool »keytool« haben die Forscher einige eindeutige Signaturzertifikat-Elemente gefunden. Der Verdacht erhärtete sich dadurch, dass viele der APKs Namen von Anti-Virus-Produkten wie AVG Cleaner und anderen bekannten Apps enthielten. Bei einem Sample des neu verpackten „AVG Cleaner“ konnten die hinzugefügten Trojaner-Komponenten in der Datei AndroidManifest.xml auf einfache Weise identifiziert werden. Diese Trojaner-Funktionen ermöglichen es unter anderem, dass Ewind Umgebungsdaten vom Gerät sammelt und an einen Command-and-Control-Server (C2-Server) sendet.

Ewind kann zudem mit dem Befehl „smsFilters“ angewiesen werden, alle SMS-Nachrichten an den C2-Server weiterzuleiten, die ein bestimmtes Filterkriterium erfüllen, etwa eine Telefonnummer oder ein Nachrichtentext. Diese Funktionalität dient wahrscheinlich dazu, um die Zwei-Faktor-Authentifizierung per SMS zu kompromittieren.

Lesen Sie mehr zum Thema

Palo Alto Networks GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Palo Alto Networks GmbH

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto

Matchmaker+
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
d.velop AG

d.velop AG
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH