Mobile Malware

Android Botnet entdeckt

Kürzlich wurde die neue Malware Android.Bmaster bekannt, die über Third-Party-Marketplaces — also nicht den offiziellen Android Market— verbreitet wird. Der Trojaner tarnt sich, indem er sich zusammen mit einer legitimen Android-Anwendung installiert. Untersuchungen der Server, über die Android.Bmaster verbreitet wird, haben ergeben, dass über 100.000 Geräte infiziert sein dürften — wenn jeden Tag 10.000 bis 30.000 davon online sind, könnte der Betreiber des Botnetzes dadurch mehrere Millionen Dollar pro Jahr einnehmen. Die Software zielt ausschließlich auf chinesische Benutzer ab.

Größe und Struktur des Android Botnets

Nachdem die infizierte Software installiert wurde, baut sie eine Verbindung zu einem Server auf, an den sie einige Daten über das Telefon und dessen Benutzer übermittelt, und von dem sie eine APK-Datei herunterlädt: Bei dieser handelt es sich um den eigentlichen Trojaner, über den das Gerät nun vom Server aus ferngesteuert werden kann. Die überwiegende Mehrheit der infizierten Geräte befindet sich in China. Bei den Daten, die der Trojaner an den Server überträgt, handelt es sich um die Cell-ID, die IMEI (International Mobile Equipment Identity), die IMSI (International Mobile Subscriber Identity), den Mobile Network Code und den Location Area Code.

Als Symantec einen der betroffenen Android Marketplaces untersuchte, ergab sich, dass alle 28 dort angebotenen Anwendungen Android.Bmaster enthielten. Den Zeitstempeln nach zu urteilen, wurde der Trojaner von dort aus seit September 2011 verbreitet. Bei der Untersuchung weiterer Webseiten, die sich auf dem Server befinden, stieß man auf ein Tool zur Überwachung der mit dem Trojaner infizierten Geräte.

Android Trojaner hat es in sich

Android.Bmaster überträgt nicht nur Daten an den Server, sondern kann außerdem dazu benutzt werden, Anweisungen zu empfangen und auszuführen: So kann die Software Textnachrichten verschicken, eingehende Anrufe und Nachrichten blockieren sowie Anrufe und Internetverbindungen aufbauen. Anscheinend werden im Botnetz auch Informationen darüber gespeichert, wie erfolgreich die Software dabei auf den einzelnen Geräten gewesen ist.

Infizierte Geräte können angewiesen werden, kostenpflichtige Telefon- oder Pay-per-View-Videodienste zu kontaktieren. Der Botmaster kann hier genau einstellen, wie häufig und wie lange ein Gerät Kontakt zu derartigen Diensten aufnehmen soll. Um zu verhindern, dass der Besitzer des Telefons Verdacht schöpft, weil er beispielsweise von den Betreibern eines dieser Dienste kontaktiert wurde, können eingehende Nachrichten und Anrufe nach verschiedenen Mustern geblockt werden.

Das von Symantec entdeckte Frontend lässt auch Schätzungen darüber zu, wie viel Geld der Betreiber des Botnetzes in etwa einnimmt: Zum Beispiel wurden Anfang 2012 rund 29.000 Geräte dazu missbraucht, auf kostenpflichtige Dienste zuzugreifen — dadurch dürften es zwischen 1.600 und 9.000 Dollar sein, die ahnungslosen Nutzern pro Tag aus der Tasche gezogen werden.