Gefälschtes Flash Player-Update erschleicht sich Android-Berechtigungen

Keine Kommentare
 

Sicherheitsbewusste Anwender wissen, dass veraltete Flash Player Versionen ein Risiko darstellen und führen deshalb regelmäßig Aktualisierungen durch. Doch Vorsicht: Vermeintliche Flash-Updates aus unseriösen Quellen entpuppen sich mitunter als gefährliche Malware. IT-Sicherheits-Experten der Firma ESET haben einen aktuellen Android-Schädling entdeckt, der die Update-Fassade nutzt, um im Hintergrund weitere schädliche Downloads anzustoßen.


Zwei Smartphones mit ähnlichen Applikationen

Gefälschtes Flash Player-Update erschleicht sich Android-Berechtigungen
(johnykasslr / pixabay.com)

Wie auf ESETs Blog zu lesen ist, verbreitet sich der Downloader mit dem Alias Android/TrojanDownloader.Agent.JI vornehmlich über Videoportale für Erwachsene sowie per Social Media. Nach einer Umleitung wird dem Nutzer eine Website angezeigt, deren Aufmachung stark an das Flash Player Design erinnert. Folgt er der dort eingeblendeten Aufforderung zum Update seines Flash Players, ist der erste Schritt zur Malware-Infektion getan. Laut ESET befällt der Trojan-Downloader auch die aktuelle Android-Version ‘Nougat’.

Vorwand für Berechtigungserteilung: “Saving Battery”-Service

Ist die Malware erst einmal auf dem Gerät, zeigt sie eine Bildschirmoberfläche mit dem grünen Android-Maskottchen und einem Batterie-Symbol an. Der Nutzer wird darauf hingewiesen, dass sein Gerät angeblich zu viel Energie verbrauche. Zugleich wird er aufgefordert, im Android Eingabehilfe-Menü die Option “Saving Battery” zu aktivieren. Dabei handelt es sich allerdings um einen neuen Dienst, den der Trojaner dem Menü hinzugefügt hat. Schaltet der Nutzer “Saving Battery” ein, schnappt die Falle endgültig zu – denn der Dienst fordert umfangreiche Berechtigungen an, die ihm unter anderem das Überwachen sämtlicher Aktivitäten auf dem Gerät und das Erkennen von Berührungen des Displays ermöglichen.

Die Malware kommuniziert im Anschluss an die Berechtigungserteilung mit einem entfernten Command-and-Control-Server und lädt weiteren Schadcode nach. Dabei kann es sich beispielsweise um Ransomware oder Onlinebanking-Malware handeln. Im Anschluss an den heimlichen Download erscheint ein Lockscreen, auf dem die Worte “Installed battery saving driver! Please don’t turn of you device” zu lesen sind – Flüchtigkeitsfehler inbegriffen. Während der Nutzer noch darauf wartet, dass etwas geschieht, ist die vom Lockscreen verdeckte Installation nachgeladener Malware bereits in vollem Gange.

Entfernung des Schädlings ist möglich

Der erste Schritt um herauszufinden, ob sich der beschriebene Downloader tatsächlich auf dem System befindet, besteht im Öffnen des Eingabehilfe-Menüs. Das Vorhandensein des Fake-Dienstes “Saving Battery” ist ein klares Indiz. Laut ESET hilft das bloße Entziehen der erteilten Berechtigungen nicht, um die Malware unschädlich zu machen, da sie diese im Anschluss einfach immer wieder anfordere. Die einzig wirksame Vorgehensweise besteht in der Deinstallation unter Einstellungen > Anwendungsmanager > Flash-Player. Sollte dies nicht ohne weiteres möglich sein, müssen dem Schädling zuvor noch unter Einstellungen > Sicherheit > Flash-Player die Admin-Rechte entzogen werden.

Da es mehr als wahrscheinlich ist, dass sich auf dem Endgerät weitere schädliche Anwendungen befinden, sollte zusätzlich eine mobile Anti-Malware-Lösung installiert werden. Diese untersucht das System auf weitere Bedrohungen und hilft bei deren Beseitigung.

 

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen