Android: Gemini-Trojaner baut mobile Botnets auf


Bereits im vergangenen Jahr tauchten verschiedene Proof-of-Concepts
für Malware und Botnets auf Basis des Smartphone-Betriebssystems Android auf.
Nun scheint der erste echte Schädling in freier Wildbahn aufgetaucht zu sein,
Forscher haben ihm den Namen „Gemini“ gegeben. Einmal installiert, verbindet
sich Gemini mit einem zentralen Server um weitere Kommandos vom Bot-Herder zu
empfangen.

 

Gemini infiziert Smartphones, indem die Malware in legitimen
Anwendungen versteckt wird – beispielsweise in geknackten Versionen von
ansonsten kostenpflichtiger Software. Laut den Forschern der Android-Sicherheitssoftware
Lookout
ist das eigentliche Ziel von Gemini unklar – die Möglichkeiten
reichen von einem mobilen Botnet bis hin zu einem gekaperten Werbenetzwerk.

 

Die Forscher haben den Schädling zumindest teilweise
analysiert. Gemini kann etwa die aktuelle Position des Smartphones auslesen und
an den Kontroll-Server übertragen, zusammen mit Informationen wie der IMEI und
der IMSI oder der auf dem Gerät installierten Anwendungen. Die Malware verfügt
außerdem über einen ausgefeilten Update- und Schutzmechanismus. Gemini kann
verschiedene Applikationen im Hintergrund herunterladen und den Nutzer
anschließend auffordern, die App zu installieren. Umgekehrt kann die Malware
den Nutzer auch auffordern, auf dem Gerät enthaltene Programme zu entfernen.

 

Gemini verteilt sich in erster Linie über alternative
Anwendungsverzeichnisse, derzeit vor allem in China. Laut Lookout können sich
Android-Nutzer relativ einfach schützen – abgesehen von der Installation einer
mobilen AV-Lösung. Wer sicher gehen möchte, sollte die Installation von
3rd-Party-Applikationen unterbinden und Anwendungen nur aus dem offiziellen App
Market installieren. In jedem Fall sollte man darauf achten, welche
Berechtigungen sich die jeweilige Applikation bei der Installation sichern
will. Beim Einsatz alternativer App-Verzeichnisse sollte man in jedem Fall auf
das Rating achten und die Bewertungen durchlesen.

 

Sicher sind Android-Anwender auch, wenn sie die
Voreinstellung des Systems nutzen und somit die Installation von Software aus
unbekannten Quellen deaktiviert ist. Auch installiert sich Gemini nur durch das
Zutun der Nutzer, allerdings ist diese eine kleine Hürde. Interessant ist, dass
es die Malware nicht nur auf die sensiblen Daten der Nutzer abgesehen hat,
sondern auch die Funktion zum Aufbau eines Werbe-Netzwerkes enthalten ist.
Damit können die Angreifer nicht nur direkt Geld verdienen, sondern
beispielsweise auch Links zu manipulierten Webseiten einblenden – die etwa
später einmal eine Infektion ohne Bestätigung des Nutzers ermöglichen.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)