Trojaner nutzt Android-Schwachstelle aus und liest WhatsApp-Konversationen
Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1 entdeckt und analysiert. Dieser nutzt mehrere Android-Schwachstellen aus, um beliebte Apps wie WhatsApp oder SwiftKey zu infizieren.
(IINews) - Um den Trojaner auf die Geräte zu bekommen, betten Cyber-Kriminelle ihn zunächst in harmlos anmutende Software ein. Doctor Web entdeckte Android.InfectionAds.1 dabei in folgenden Apps: HD Camera, Tabla Piano Guitar Robab, Euro Farming Simulator 2018 und Touch on Girls.
Beim Starten einer der oben genannten Apps extrahiert der Trojaner Hilfsmodule, welche die kritische Android-Schwachstelle CVE-2017-13315 ausnutzen. CVE-2017-13315 gehört dabei zur Klasse der Schwachstellen, die als „EvilParcel“ bezeichnet werden. Ihre Systemkomponenten enthalten einen Fehler, der beim Datenaustausch zwischen Apps und Betriebssystem zu deren Modifikation führen kann. So kann der Trojaner Aktionen im Betriebssystem ausführen, z.B. die unbemerkte Installation neuer Apps.
Neben EvilParcel nutzt der Trojaner auch eine weitere Android-Schwachstelle namens Janus (CVE-2017-13156) aus. Über diese Systemlücke infiziert er bereits installierte Apps, indem er seine Kopie in diese Apps einbettet. Wenn der Trojaner eine App infiziert, fügt er seine Komponenten in die apk-Dateistruktur ein, ohne ihre digitale Signatur zu ändern. Anschließend werden anstelle der Originale angepasste Versionen der Apps installiert. Da die digitale Signatur der infizierten Dateien aufgrund der Schwachstelle identisch bleibt, werden die Apps als eigene Updates installiert. So funktionieren die gehackten Apps weiterhin einwandfrei, enthalten aber eine Kopie von Android.InfectionAds.1, die mit diesen unmerklich interagiert.
Diese Apps konnten vom Trojaner infiziert werden:
Sobald eine App infiziert ist, stehen dem Trojaner deren Daten zur Verfügung. Bei WhatsApp hat er somit Zugriff auf die Konversationen, bei einem Browser auf die gespeicherten Benutzernamen und Passwörter. In folgenden Apps konnten die Malwarespezialisten von Doctor Web eine der untersuchten Versionen von Android.InfectionAds.1 finden:
- com.whatsapp (WhatsApp Messenger)
- com.touchtype.swiftkey (SwiftKey Tastatur)
- com.opera.mini.native (Opera Mini)
- com.domobile.applock (AppLock)
- com.lenovo.anyshare.gps (SHAREit)
- com.mxtech.videoplayer.ad (MX Player)
- com.jio.jioplay.tv (JioTV)
- com.jio.media.jiobeats (JioSaavn Music & Radio)
- com.jiochat.jiochatapp (JioChat: HD Video Call)
- com.jio.join (Jio4GVoice)
- com.good.gamecollection
- in.startv.hotstar (Hotstar)
- com.meitu.beautyplusme (PlusMe Camera)
- com.flipkart.android (Flipkart Online Shopping App)
- cn.xender (Share Music & Transfer Files – Xender)
- com.eterno (Dailyhunt (Newshunt))
- com.truecaller (Truecaller: Caller ID, spam blocking & call record)
- com.ludo.king (Ludo King™)
Um den Trojaner wieder loszuwerden und infizierte Apps wiederherzustellen, gibt es nur eine Möglichkeit: Diese Apps zu deinstallieren und aus zuverlässigen Quellen wie Google Play neu zu installieren. Alle Dr.Web Produkte für Android spüren bekannte Versionen von Android.InfectionAds.1 erfolgreich auf und löschen diese. Deshalb stellt der Schädling für Dr.Web Nutzer keine Gefahr dar.
Weitere Informationen zu der Android-Schwachstelle finden Sie hier: https://news.drweb-av.de/show/?lng=de&i=13108&c=14.
Themen in diesem Fachartikel:
antivirus
antiviren
software
antiviren
programm
it
sicherheit
pc
sicherheit
malware
adware
riskware
hacker
trojaner
encoder
doctor-web
dr-web
android
Unternehmensinformation / Kurzprofil:
Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.
Patricia Kneis / Andreas Rieger
Tel +49 89 62 81 75 12
DoctorWebGermany(at)we-worldwide.com
WE Communications
Sandstr. 33
D-80335 München
Patricia Kneis / Andreas Rieger
Tel +49 89 62 81 75 12
DoctorWebGermany(at)we-worldwide.com
WE Communications
Sandstr. 33
D-80335 München
Datum: 18.04.2019 - 07:36 Uhr
Sprache: Deutsch
News-ID 1715699
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Sanja Jahn-Willkomm
Stadt:
60327 Frankfurt
Telefon: 069/97503139
Kategorie:
Anmerkungen:
Dieser Fachartikel wurde bisher 55 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Trojaner nutzt Android-Schwachstelle aus und liest WhatsApp-Konversationen
"
steht unter der journalistisch-redaktionellen Verantwortung von
Doctor Web Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).