zurück zur Übersicht

Mobile Malware: Android wird zum GM Bot

Mobile Malware kann unterschiedliche Smartphones befallenGM Bot, auch bekannt unter dem Namen MazarBOT, ist eine neue mobile Malware und stammt mit großer Sicherheit aus Russland. Die Malware infiziert Android-Smartphones und wird über Spam SMS- oder MMS-Nachrichten verteilt, die einen Link zu einem schädlichen APK (Android App File) enthalten. Durch das öffnen dieses Links wird die Installationsdatei heruntergeladen. Beim Ausführen der Datei wird der Nutzer aufgefordert, eine neue Applikation zu installieren. Da der Name der Applikation „MMS Messaging“ lautet, werden fachfremde Benutzer dazu verleitet, zu glauben, dass die Applikation legitim ist. Auch die benötigten administrativen Privilegien, die die App fordert, sind nichts Ungewöhnliches.

Wie bereits erwähnt, ist es sehr wahrscheinlich, dass GM Bot in Russland entwickelt wurde. Ein Hinweis darauf ist, dass die Installation auf Smartphones mit russischer Spracheinstellung nicht möglich ist bzw. vom Installer selbst gestoppt wird. Ein Grund dafür könnte sein, dass russische Behörden nur dann Cyber-Kriminelle verfolgen, wenn auch russische Bürger betroffen sind. Es gibt zwar kein Gesetz, das ihr Verhalten legitimiert, dennoch wird es in der Praxis so gehandhabt. Zu guter Letzt wurde MazarBOT in mehreren russischsprachigen Dark Net-Foren zum Verkauf angeboten.

Ist die Malware erst einmal installiert, so erlangt sie Root Zugriff auf das Android-Gerät. Sie kann eine Vielzahl von Aktivitäten durchführen. Zu diesen Aktivitäten gehören zum Beispiel der automatische Anwendungsstart bei Neustarts, SMS lesen und senden, Kontakte anrufen, Konfigurationen ändern, das Internet verwenden und sogar den gesamten Speicher löschen. Im Prinzip kann die Malware das Telefon komplett steuern, wodurch es zu einem Teil eines Bot-Netzes gemacht werden kann.

Zusätzlich zu diesen Aktionen installiert die Malware in einigen Fällen auch eine legitime App, um TOR verwenden zu können. Somit ist es der Malware möglich, anonym im Internet zu surfen. In einigen wenigen Fällen wird auch die Android App „Polipo Proxy“ installiert, mit der eine Verbindung über einen Proxy-Server aufgebaut wird. Dadurch wird der Angreifer zum Man-in-the-Middle (MitM) und kann den Traffic des eigentlichen Besitzers des Android-Gerätes ausspionieren und ändern.

Mobile Malware als Wegbereiter für Phishing-Angriffe

Derzeit werden diese Funktionalitäten vor allem dazu verwendet, Phishing-Seiten anstatt der regulären Login-Seiten von Online Banking-Apps anzuzeigen. Hierdurch wird der Nutzer dazu verleitet, seine Zugangsdaten unabsichtlich preiszugeben. Außerdem können durch den Zugriff auf die SMS und Anrufe weitere Sicherheitsmechanismen der Banken ausgehebelt werden.

Wie kann man sich schützen? Zunächst einmal mit Standard-Vorgehensweisen wie:

  • Keine Attachements von unbekannten Quellen öffnen
  • Keine Links in SMS und MMS Nachrichten öffnen
  • Keine Apps von unbekannten Quellen installieren

Mobile Malware als Hintertür ins Unternehmensnetz

Doch diese Vorgehensweisen betreffen eher die Nutzer selbst und in Unternehmen kann nicht immer gewährleistet werden, dass sich jeder daran hält. Gerade in der heutigen Zeit in der BYOD (Bring your own device) oft groß geschrieben wird, kann diese Art von Malware ihr Schadpotenzial drastisch vergrößern. Hier bedarf es weiterer Maßnahmen, um das Unternehmen zu schützen. Je nach dem auf welchem Wege eine Malware ihr Opfer findet, können beispielsweise Sandboxing-Systeme wie Lastline dazu verwendet werden, um frühzeitig eine Warnung zu erhalten. Auch eine Kombination aus Mobile Device Management und Veracode‘s Mobile Application Reputation Service (MARS) können vor gefährlichen Applikationen warnen und diese blocken.

iT-CUBE SYSTEMS kann Sie dabei unterstützen, eine auf Ihr Unternehmen ausgerichtete, praxisorientierte Lösung zu finden. Profitieren Sie besonders von unserem tiefen Einblick in die aktuelle Malware-Bedrohungslage, den wir aus unseren Managed Security Services gewinnen.


Weiterführende Links:

[1] https://www.it-cube.net/de/it-security-portfolio/network-infrastructure/malware-detection-protection/

[2] https://www.it-cube.net/de/it-security-portfolio/applications-database/software-code-analysis/

Quellen:

[1] http://thehackernews.com/2016/02/hack-android-malware.html

[2] http://thehackernews.com/2016/02/android-malware-source-code.html

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar