Mobile Malware

IRC-Bot verschickt teure Premium-SMS von Android-Handys

Montag den 16.01.2012 um 15:43 Uhr

von Frank Ziemann

IRC-Bot als Spiel getarnt
Vergrößern IRC-Bot als Spiel getarnt
Ein Antivirushersteller hat ein Trojanisches Pferd untersucht, das auf Smartphones mit dem Betriebssystem Android zielt. Es tarnt sich als Sport-App und verschickt verdeckte SMS an teure Premium-Rufnummern. Es nimmt Befehle via IRC entgegen.
Zwar ist es noch längst nicht soweit, dass Android unter dem Aspekt der Malware-Bedrohung als das Windows unter den mobilen Betriebssystemen gelten kann, doch Malware-Programmierer schießen sich auf Android ein. Der Antivirushersteller Kaspersky Lab berichtet über einen Schädling, der teure SMS an Premium-Rufnummern verschickt und ein Botnetz aufspannen könnte.

Das als "Trojan-Dropper.AndroidOS.Foncy.a" bezeichnete Trojanische Pferd ist nach Angaben des Malware-Experten Denis Maslennikov im Kaspersky-Blog Securelist der erste Bot für Android, den das Unternehmen gefunden hat. Der Verbreitungsweg ist noch unklar, es ist jedoch im vorliegenden Fall als Sportspiel "MADDEN NFL 12" getarnt.

Das ganze Paket ist immerhin 5 MB groß und enthält mehrere schädliche Komponenten, darunter einen Root-Exploit, einen SMS-Versender und einen IRC-Bot. Die Komponenten sind als Bilddateien im PNG-Format getarnt, das heißt sie verwenden die entsprechende Dateiendung.

Zunächst wird der Root-Exploit ausgeführt, mit dem sich der Schädling Root-Rechte auf dem System verschafft, also die volle Kontrolle übernimmt. Die bereits länger bekannte SMS-Komponente (Trojan-SMS.AndroidOS.Foncy.a) ermittelt aus der SIM-Karte das Land, im dem das Heimatnetz des Mobilgeräts liegt. Sie sendet dann Kurznachrichten an Premiumnummern – in Deutschland an die 63000, in der Schweiz an die Rufnummer 543. Es blockiert alle eingehenden SMS von diesen Rufnummern.

Schließlich nimmt der IRC-Bot Kontakt zu einem IRC-Server (Internet Relay Chat) auf und wartet auf Instruktionen, die er auf dem infizierten Gerät ausführen würde. Der Besitzer eines derart verseuchten Android-Smartphone hat es mit einem Schädling zu tun, der über mehr Rechte verfügt als er selbst.

Montag den 16.01.2012 um 15:43 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
1289855