Trojaner nutzt Android-Schwachstelle aus und liest WhatsApp-Konversationen

Diese Pressemitteilung erscheint nur noch bis zum 02.06.2019.

Als Herausgeber(in) können Sie die Laufzeit für nur 99 Cent pro Monat oder sogar alle unter derselben E-Mailadresse in einem Benutzerkonto veröffentlichten Pressemitteilungen für nur 4,99 € pro Monat um ein ganzes Jahr prolongieren (jeweils zzgl. MwSt.).

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1 entdeckt und analysiert. Dieser nutzt mehrere Android-Schwachstellen aus, um beliebte Apps wie WhatsApp oder SwiftKey zu infizieren. 

Um den Trojaner auf die Geräte zu bekommen, betten Cyber-Kriminelle ihn zunächst in harmlos anmutende Software ein. Doctor Web entdeckte Android.InfectionAds.1 dabei in folgenden Apps: HD Camera, Tabla Piano Guitar Robab, Euro Farming Simulator 2018 und Touch on Girls. 

Beim Starten einer der oben genannten Apps extrahiert der Trojaner Hilfsmodule, welche die kritische Android-Schwachstelle CVE-2017-13315 ausnutzen. CVE-2017-13315 gehört dabei zur Klasse der Schwachstellen, die als „EvilParcel“ bezeichnet werden. Ihre Systemkomponenten enthalten einen Fehler, der beim Datenaustausch zwischen Apps und Betriebssystem zu deren Modifikation führen kann. So kann der Trojaner Aktionen im Betriebssystem ausführen, z.B. die unbemerkte Installation neuer Apps. 

Neben EvilParcel nutzt der Trojaner auch eine weitere Android-Schwachstelle namens Janus (CVE-2017-13156) aus. Über diese Systemlücke infiziert er bereits installierte Apps, indem er seine Kopie in diese Apps einbettet. Wenn der Trojaner eine App infiziert, fügt er seine Komponenten in die apk-Dateistruktur ein, ohne ihre digitale Signatur zu ändern. Anschließend werden anstelle der Originale angepasste Versionen der Apps installiert. Da die digitale Signatur der infizierten Dateien aufgrund der Schwachstelle identisch bleibt, werden die Apps als eigene Updates installiert. So funktionieren die gehackten Apps weiterhin einwandfrei, enthalten aber eine Kopie von Android.InfectionAds.1, die mit diesen unmerklich interagiert. 

Diese Apps konnten vom Trojaner infiziert werden:

Sobald eine App infiziert ist, stehen dem Trojaner deren Daten zur Verfügung. Bei WhatsApp hat er somit Zugriff auf die Konversationen, bei einem Browser auf die gespeicherten Benutzernamen und Passwörter. In folgenden Apps konnten die Malwarespezialisten von Doctor Web eine der untersuchten Versionen von Android.InfectionAds.1 finden:

– com.whatsapp (WhatsApp Messenger)

– com.touchtype.swiftkey (SwiftKey Tastatur)

– com.opera.mini.native (Opera Mini)

– com.domobile.applock (AppLock)

– com.lenovo.anyshare.gps (SHAREit)

– com.mxtech.videoplayer.ad (MX Player)

– com.jio.jioplay.tv (JioTV)

– com.jio.media.jiobeats (JioSaavn Music & Radio)

– com.jiochat.jiochatapp (JioChat: HD Video Call)

– com.jio.join (Jio4GVoice)

– com.good.gamecollection

– in.startv.hotstar (Hotstar)

– com.meitu.beautyplusme (PlusMe Camera)

– com.flipkart.android (Flipkart Online Shopping App)

– cn.xender (Share Music & Transfer Files – Xender)

– com.eterno (Dailyhunt (Newshunt))

– com.truecaller (Truecaller: Caller ID, spam blocking & call record)

– com.ludo.king (Ludo King™)

Um den Trojaner wieder loszuwerden und infizierte Apps wiederherzustellen, gibt es nur eine Möglichkeit: Diese Apps zu deinstallieren und aus zuverlässigen Quellen wie Google Play neu zu installieren. Alle Dr.Web Produkte für Android spüren bekannte Versionen von Android.InfectionAds.1 erfolgreich auf und löschen diese. Deshalb stellt der Schädling für Dr.Web Nutzer keine Gefahr dar.

Weitere Informationen zu der Android-Schwachstelle finden Sie hier: https://news.drweb-av.de/show/?lng=de&i=13108&c=14.

Veröffentlicht von:

Doctor Web Deutschland GmbH

Platz der Einheit 1
60327 Frankfurt
DE
Telefon: 069/97503139
Homepage: http://www.drweb-av.de

Ansprechpartner(in):
Sanja Jahn-Willkomm
Herausgeber-Profil öffnen


         

Firmenprofil:

0 0 1 131 830 Doctor Web Deutschland GmbH 6 1 960 14.0 Normal 0 21 false false false RU JA X-NONE/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Normale Tabelle" mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:"" mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman" mso-ansi-language:RU; mso-fareast-language:RU;}

Doctor Web Ltd. ist ein führender, weltweit agierender Hersteller von Antivirus- und Antispam-Lösungen. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den weltweit über 120 Mio. Nutzern von Dr.Web gehören Privatanwender, namhafte und international agierende, börsennotierte Großunternehmen, Banken und öffentliche Einrichtungen.

Informationen sind erhältlich bei:

WE Communications

Теl.: +49 (0)89 6281 75 0 

Fax: +49 (0)89 6281 75 11 

E-Mailpr@drweb-av.de

Themenverwandte Pressemitteilungen: