Sicherheitsforscher Lukas Stefanko hat eine neue Android-Malware entdeckt. Ihr Name ist lang und beinahe unaussprechlich. Sie heißt nämlich Android.Trojan-Spy.Buhsam.A und hat nur ein Ziel. Sie will euch ausspionieren.
Wie die Malware auf eure Geräte gelangt und was sie dann dort anstellt, erfahrt ihr bei uns.
Android-Malware sendet „Service Started“
GData hat die Android-Malware analysiert und dabei festgestellt, dass der Schädling eure WhatsApp-Historie liest, Kontaktdaten ausspioniert und die Kamera des Smartphones übernimmt. Erste Antivirenprogramme erkennen die Bedrohung bereits unter dem Namen Android.Trojan-Spy.Buhsam.A. Die Informationen, die der Schädling sammelt, sendet er an die Entwickler.
Allerdings befindet sich die Schadsoftware nach Ansicht der GData-Analysten noch in der Entwicklungsphase. Denn eigentlich versuchen die Angreifer unentdeckt zu arbeiten. Doch Android.Trojan-Spy.Buhsam.A versendet eine Benachrichtigung, sobald die Dienste gestartet werden. „Service Started“ lautet die Information, die ihr bekommt, sollte euer Handy verseucht sein.
Lukas Stefanko von ESET hat den Schädling entdeckt und auf Twitter berichtet. Foto: Screenshot
Android-Malware kommt über Chat-App-Imitat
Immer wieder gelangt Malware frühzeitig an die Öffentlichkeit. Grund dafür: Die Entwickler testen beispielsweise auf Seiten wie Virustotal, ob Virenscanner die neue Schadsoftware erkennen. Auch in diesem Fall wurde Android.Trojan-Spy.Buhsam.A vermutlich versehentlich veröffentlicht.
Die Android-Malware gelangt über ein Imitat der Chat-App Viber auf eure Smartphones. Damit ihr euch die Schadsoftware nicht auf euer Gerät holt, solltet ihr Apps nur aus dem PlayStore herunterladen. Google überprüft Software die auf das Portal hochgeladen wird. Apps mit kriminellen Absichten werden entweder gar nicht erst zugelassen oder relativ schnell wieder entfernt.
Was tut die neue Android-Malware?
Doch was macht die neue Android-Malware auf euren Smartphones genau? Laut GData macht der Schädling gleich mehrere Dinge. Zum einen sind dabei Aktionen, die den Kriminellen ihre Arbeit erleichtern, zum anderen aber auch Dinge, die euch den Malware-Befall verschleiern sollen. Wir erklären, was Android.Trojan-Spy.Buhsam.A tut.
Verbindung über Websockets
GData beschreibt, dass der Schädling eine Verbindung zum Command-and-Control-Server nicht über eine normale HTTP-Verbindung aufbaut. Er nutzt stattdessen Websockets. Verbindungen darüber können problemlos über eine längere Zeit aufrechterhalten werden – anders als klassische HTTP-Verbindungen. Für die Entwickler von Android.Trojan-Spy.Buhsam.A hat das einen entscheidenden Vorteil: Sie können wesentlich einfacher mit den Smartphones der Opfer kommunizieren.
Zusätzlich entfällt die Übermittlung von sogenannten Header-Dateien. Das führt dazu, dass bei jeder Verbindung mit dem Server weniger Datenvolumen verbraucht wird. Sinn und Zweck ist klar: Opfer sollen wegen eines plötzlich gestiegenen Datenverbrauchs nicht misstrauisch werden. Die Android-Malware nutzt dieses Vorgehen also zur Tarnung.
Malware lädt Module nach Bedarf
Die neu entdeckte Malware kann außerdem zahlreiche verschiedene Module laden. Welche sie lädt, hängt davon ab, welche Informationen auf einem Smartphone vorhanden sind. Laut GData können die Kriminellen aber eure gesamte Whatsapp-Datenbank auslesen, sowie alle eure Kontakte.
Auch Teile der Browser-Historie können die Entwickler von Android.Trojan-Spy.Buhsam.A anfordern. Bislang allerdings nur die gespeicherten Lesezeichen der Opfer. Laut GData ein Zeichen dafür, dass sich die Malware noch in der Entwicklung befindet.
Die neue Android-Malware befindet sich vermutlich noch in der Entwicklung. Foto: Pixabay
Android-Malware im Google PlayStore
Trojaner und Co. gelangen immer wieder in den Google PlayStore. Zuletzt haben wir über den Banking Trojaner Bankbot berichtet. Ein Hinweis auf gefährliche Apps bietet der Blick auf die Bewertungen. Eine hohe Anzahl bei neuen Apps ist verdächtig. Auch die Berechtigungen solltet ihr euch anschauen. Verlangt beispielsweise eine Taschenlampen-App Zugriff auf Kontakte und Speicher, ist Vorsicht geboten. Woran ihr betrügerische Apps noch erkennt, beschreiben wir in unserm Blogbeitrag Trickbetrug im Android-Store.
Noch mehr Infos zur neuen Android-Malware findet ihr in der Analyse über Android.Trojan-Spy.Buhsam.A in einem Whitepaper von GData und in GData-Security-Blog. Habt ihr den Verdacht, dass euer Smartphone mit Viren, Schadsoftware und Co. verseucht ist, dann kommt zu PC-SPEZIALIST vor Ort. Wir helfen euch mit einer Datenrettung und versorgen euer Smartphone mit einer aktuellen Antivirensoftware.
Auf meinem Handy habe ich gefunden Tojan.Android.hbagent.bkws wie soll ich verfahren?
Hallo Herr Kolb,
bitte schnappen Sie sich Ihr Handy und suchen Sie einen Spezialisten auf. Hier finden Sie den PC-SPEZIALIST in Ihrer Nähe: https://www.pcspezialist.de/standorte/
Leider können wir Ihnen aus der Ferne nicht weiterhelfen.
Viel Erfolg und viele Grüße
Ihr PC-SPEZIALIST-Team