Mobile Malware

Polymorphe Android-Trojaner

Schon seit längerer Zeit lässt sich beobachten, wie Polymorphie eingesetzt wird, um PCs mit Schadsoftware zu infizieren: Hier wird bei jedem Download einer virenverseuchten Datei eine neue Version dieser Datei erstellt, sodass der Virus nicht mehr ohne weiteres an seiner Signatur erkannt werden kann. Diese Technik wird zunehmend auch bei bösartigen Anwendungen für Android-Smartphones und -Tablets angewandt, die von russischen Servern heruntergeladen werden können. Die verschiedenen Varianten dieses Trojaners wurden auf den Namen Android.Opfake getauft.

Dateigröße und -reihenfolge sowie Anzahl der Dateien ändern sich

Die Trojaner dieser Familie tarnen sich als kostenlose Versionen beliebter Android-Software und werden vor dem Download mittels serverseitiger Polymorphie leicht abgeändert: Die Größe und die Reihenfolge der enthaltenen Dateien ändern sich, und es werden zusätzliche Dummy-Dateien eingefügt. Hier scheinen sich die Autoren des Trojaners übrigens einen Scherz erlaubt zu haben: In Anspielung auf ein Internet-Mem handelt es sich bei diesem Datenmüll um das Porträt eines Mannes, der auch auf zahlreichen Fotomontagen zu sehen war, die in letzter Zeit im Web die Runde gemacht haben. Bei einigen Varianten des Trojaners wurde lediglich die Reihenfolge der Dateien geändert, allerdings gibt es Hinweise darauf, dass die Autoren zusätzlich zu dem Einsatz von Polymorphie regelmäßig eigenhändige Änderungen an der Software vornehmen.

Android Trojaner verbreiten sich weltweit

Nachdem der Trojaner installiert wurde, verschickt er automatisch Kurznachrichten an kostenpflichtige Dienste, und der Browser öffnet Seiten, die zum Teil weitere Malware enthalten. Auch wenn alle bisher entdeckten Server, von denen Android.Opfake heruntergeladen werden kann, in Russland stehen, können die automatisch verschickten SMS in ganz Europa versendet werden, außerdem in Australien, Israel und Taiwan.

Symantec berichtet auf seiner Webseite, dass Trojaner der Familie Android.Opfake inzwischen von Norton Mobile Security erkannt werden. Grundsätzlich sollten Anwendungen nur aus vertrauenswürdigen Quellen installiert werden, und spätestens, wenn eine Software nach der Erlaubnis zum Versenden von SMS fragt, ist Vorsicht geboten.