Diese Android-Malware läuft automatisch und kann sensible Daten stehlen

Cybersecurity-Forscher von McAfee haben entdeckt, dass eine aktualisierte Version der Android-Malware XLoader sich automatisch auf infizierten Android-Smartphones nach der Installation ohne Benutzerinteraktion starten kann.

XLoader, auch bekannt als MoqHao, ist eine Malware-Variante, die wahrscheinlich von einem finanziell motivierten Bedrohungsakteur namens ‚Roaming Mantis‘ erstellt wurde.

Diese Malware wird hauptsächlich über verkürzte URL-Links in Textnachrichten auf Android-Geräten verteilt, die, wenn sie angeklickt werden, auf eine Website umleiten, um eine Android-APK-Installationsdatei für eine mobile App herunterzuladen.

Dies ermöglicht es der Malware, im Hintergrund still zu laufen und persönliche und private Informationen von kompromittierten Geräten zu extrahieren, einschließlich Gerätemetadaten, Fotos, Textnachrichten, Kontaktlisten, Anrufe zu bestimmten Nummern im Lautlosmodus und möglicherweise Bankinformationen, unter anderem.

„Typisches MoqHao erfordert, dass Benutzer die App installieren und starten, um ihr gewünschtes Ziel zu erreichen, aber diese neue Variante benötigt keine Ausführung. Während die App installiert ist, beginnt ihre bösartige Aktivität automatisch“, erklärt McAfee, ein Partner der Android’s App Defense Alliance, in einem diese Woche veröffentlichten Bericht.

„Wir haben diese Technik bereits Google gemeldet und sie arbeiten bereits an der Umsetzung von Maßnahmen, um diese Art der automatischen Ausführung in einer zukünftigen Android-Version zu verhindern.“

Um den Benutzer zu täuschen, tarnt sich die Malware als legitime App, oft indem sie vorgibt, der Google Chrome-Webbrowser zu sein. Sie verwendet Unicode-Zeichenfolgen in App-Namen zur Obfuskation, was es ihr ermöglicht, riskante Berechtigungen auf dem Gerät zu suchen, wie das Senden und Zugreifen auf SMS-Inhalte, und um immer im Hintergrund laufen zu können, indem sie eine Ausnahme von der Akkuoptimierung von Android hinzufügt.

Darüber hinaus fragt die gefälschte Chrome-App die Benutzer, ob sie sie als Standard-SMS-App festlegen möchten, unter dem Vorwand, dass dies helfen würde, Spam zu verhindern.

Zusätzlich verwendet die Malware auch Phishing-Nachrichten, deren Inhalt aus dem Bio- (oder Beschreibung-) Feld von betrügerischen Pinterest-Profilen extrahiert wird, die dann an infizierte Smartphones gesendet werden, um die Erkennung durch Antivirensoftware zu umgehen.

Wenn die Malware nicht auf Pinterest zugreifen kann, verwendet sie hartcodierte Phishing-Nachrichten, die potenzielle Opfer darüber informieren, dass etwas Verdächtiges mit ihrem Bankkonto vorliegt und sie sofortige Maßnahmen ergreifen müssen.

Die Forscher von McAfee stellten fest, dass einige bösartige angezeigte Pop-up-Nachrichten in Englisch, Koreanisch, Französisch, Japanisch, Deutsch und Hindi nach Berechtigungen fragten, was auch auf die aktuellen Ziele von XLoader hinweist. Sie glauben, dass die Malware neben Japan auch Android-Nutzer in Südkorea, Frankreich, Deutschland und Indien ins Visier nimmt.

Um sich vor XLoader-Malware zu schützen, wird den Benutzern geraten, keine Apps aus unbekannten Quellen zu installieren oder kurze URLs in Textnachrichten zu öffnen und sehr vorsichtig zu sein, wenn sie Berechtigungen für die installierten Apps erteilen. Außerdem sollte die Anzahl der auf dem Android-Telefon installierten Apps begrenzt und Apps nur von seriösen Entwicklern installiert werden.

Zusätzlich sollte Google Play Protect auf dem Android-Smartphone aktiviert werden, damit es alle aktuellen Apps und neue Apps, die heruntergeladen werden, auf Malware scannen kann.

Zudem sollte in Betracht gezogen werden, zusätzliche Antivirensoftware für Android zur Verbesserung der Sicherheit zu installieren.