Das
Die Attacken erfolgen demnach über Spam-Mails, die etwa vermeintlich im Namen der Bundessteuerbehörde der USA (Internal Revenue Service, IRS) verschickt werden. Folgt ein Nutzer den Links in den Spam-Mails, untersucht ein Skript, ob ein Android-Gerät genutzt wird. Ist dem nicht so und ein Nutzer surft mit dem Internet Explorer, Mozillas Firefox oder Opera, wird er auf eine Webseite gelenkt, auf dem ein Blackhole-Exploit-Kit lauert. Es versucht den Rechner über veraltete Browser-Plug-Ins zu infizieren.
Wird tatsächlich ein Android-Gerät genutzt, lenkt das Skript die Nutzer auf eine Webseite, die darauf aufmerksam macht, dass der Flash Player nicht mehr aktuell ist und ein Update anbietet. Um das falsche Update zu installieren, muss der Nutzer allerdings erst erlauben, dass Apps aus "unbekannten Quellen" zugelassen werden.
Stimmt der Nutzer zu, installiert sich der Trojaner. Öffnet der Nutzer die vermeintliche App dann zum ersten Mal, gibt sie vor, dass die Installation fehlgeschlagen ist und deshalb wieder deinstalliert wird. Im Hintergrund arbeitet Stels dann allerdings weiter und richtet eine Backdoor ein, mit der er Schadsoftware nachladen kann. Der Trojaner kann darüber hinaus die Kontaktlisten seiner Opfer ausspähen, kostenpflichtig SMS senden, Telefonanrufe absetzen und SMS etwa nach mTANS filtern. In Kombination mit einem Zeus-Trojaner könnte Stels deshalb vermutlich Zwei-Fakor-Authentifizierungen austricksen.
Der Trojaner dringt allerdings nicht tief in das Android-Betriebssystem ein. Stels funktioniert ohne Root-Zugriff und versteckt sich kaum. Unter den Einstellungen kann das vermeintliche Flash-Update deshalb bei den "aktiven Apps" aufgespürt und auch deinstalliert werden. Vor dem ersten Start ist auch der Titel der "App" auffällig: unter dem Icon steht dann kurzzeitig "Appname".
heise.de
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, das auch schon den Bankingtrojaner Zeus verbreitet, versucht einen neuen Android-Trojaner namens Stels unter die Leute zu bringen. Stels infiziert Android-Geräte, indem er sich als Adobe-Flash-Player-Update ausgibt. Nutzen die potentiellen Opfer allerdings keine Android-Geräte, haben sich die Malware-Autoren um eine Alternative bemüht. Werden die gefährlichen Spam-Links nicht auf Android-Geräten angeklickt, sondern in Desktop-Browsern wie dem Internet Explorer, leiten die Autoren ihre Opfer über eine Browserweiche auf Webseiten um, auf denen das
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
lauert. Ein Sicherheitsteam von Dell hat das Angriffsszenario genauer
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Die Attacken erfolgen demnach über Spam-Mails, die etwa vermeintlich im Namen der Bundessteuerbehörde der USA (Internal Revenue Service, IRS) verschickt werden. Folgt ein Nutzer den Links in den Spam-Mails, untersucht ein Skript, ob ein Android-Gerät genutzt wird. Ist dem nicht so und ein Nutzer surft mit dem Internet Explorer, Mozillas Firefox oder Opera, wird er auf eine Webseite gelenkt, auf dem ein Blackhole-Exploit-Kit lauert. Es versucht den Rechner über veraltete Browser-Plug-Ins zu infizieren.
Wird tatsächlich ein Android-Gerät genutzt, lenkt das Skript die Nutzer auf eine Webseite, die darauf aufmerksam macht, dass der Flash Player nicht mehr aktuell ist und ein Update anbietet. Um das falsche Update zu installieren, muss der Nutzer allerdings erst erlauben, dass Apps aus "unbekannten Quellen" zugelassen werden.
Stimmt der Nutzer zu, installiert sich der Trojaner. Öffnet der Nutzer die vermeintliche App dann zum ersten Mal, gibt sie vor, dass die Installation fehlgeschlagen ist und deshalb wieder deinstalliert wird. Im Hintergrund arbeitet Stels dann allerdings weiter und richtet eine Backdoor ein, mit der er Schadsoftware nachladen kann. Der Trojaner kann darüber hinaus die Kontaktlisten seiner Opfer ausspähen, kostenpflichtig SMS senden, Telefonanrufe absetzen und SMS etwa nach mTANS filtern. In Kombination mit einem Zeus-Trojaner könnte Stels deshalb vermutlich Zwei-Fakor-Authentifizierungen austricksen.
Der Trojaner dringt allerdings nicht tief in das Android-Betriebssystem ein. Stels funktioniert ohne Root-Zugriff und versteckt sich kaum. Unter den Einstellungen kann das vermeintliche Flash-Update deshalb bei den "aktiven Apps" aufgespürt und auch deinstalliert werden. Vor dem ersten Start ist auch der Titel der "App" auffällig: unter dem Icon steht dann kurzzeitig "Appname".
heise.de
