150502

Erster Schädling für mobiles Java

01.03.2006 | 14:53 Uhr |

Ein Trojanisches Pferd aus Russland versendet Premium-SMS.

Erstmals ist ein Schädling aufgetaucht, der auf die Java-Umgebung J2ME (Java 2 Mobile Edition) in Mobiltelefonen spezialisiert ist. Kaspersky Labs berichtet über ein Trojanisches Pferd namens " Trojan-SMS.J2ME.RedBrowser.a ", das als Java-Anwendung zum Aufruf von WAP-Seiten getarnt ist.

"Red Browser" zielt in dieser ersten entdeckten Version auf die Kunden der drei größten russischen Mobilfunkanbieter MTS, Beeline und Megafon. Der russische Antivirus-Hersteller Kaspersky Labs nimmt jedoch an, dass bereits weitere Modifikationen des Schädlings existieren.

Mit Red Browser werden nunmehr nicht nur so genannte Smartphones zur Zielscheibe von Malware, sondern auch normale Mobiltelefone, die Java unterstützen. Damit erweitert sich der Kreis potenzieller Opfer ganz erheblich. Red Browser breitet sich nicht selbsttätig aus, sondern gelangt durch Downloads aus dem Internet (WAP-Seiten) auf das Handy, aber auch per Bluetooth oder vom PC aus. Das Programm muss vom Benutzer installiert werden.

Red Browser gibt vor WAP-Seiten ohne Einrichtung eines WAP-Zugangs abrufen zu können. Dies soll vorgeblich durch Senden und Empfangen kostenloser SMS-Nachrichten möglich sein. Tatsächlich versendet Red Browser jedoch teure Premium-SMS, die jeweils bis zu fünf Euro kosten. Nach Angaben des finnischen Antivirus-Herstellers F-Secure gibt es bislang noch keine Meldungen über Schäden.

Der Schädling steckt in einer 54.482 Byte großen JAR-Datei, die etwa den Dateinamen "redbrowser.jar" tragen kann. Dieses komprimierte Archiv enthält sieben Dateien, vier Java-Programmdateien mit der Endung ".class" und drei Bilddateien im PNG-Format (Portable Network Graphics). Red Browser kann über die normalen Funktionen zum Deinstallieren von Java-Applets entfernt werden.

Bei McAfee wird diese SMS-Malware als " J2ME/RedBrowser.a " geführt, bei Symantec unter " Trojan.Redbrowser.A " und Sophos nennt sie " Troj/Redbrow-A ".

0 Kommentare zu diesem Artikel
150502