Android-Trojaner greift deutsche Nutzer an

Im App-Shop von Amazon treibt seit vergangener Woche eine App ihr Unwesen, die einen Trojaner im Gepäck hat. Die kostenlose Software Gutscheine.de kann unbemerkt auf Kamera, Mikrofon, SMS oder GPS zugreifen. Laut heise Security stammt die App nicht vom gleichnamigen Gutschein-Portal. Vielmehr hätten Kriminelle das Logo sowie den Namen der Seite missbräuchlich verwendet, um die Kunden zu überlisten. Die App zeigt lediglich die Mobilversion von Gutscheine.de an.

Direkt nach der Installation der Gratis-App wird jedoch unbemerkt eine zweite App namens com.android.engine eingespielt, die den Machern weitreichende Zugriffsrechte verschafft. So kann der Android-Trojaner beim Start des Smartphones automatisch hochfahren und auf eingehende SMS-Nachrichten warten. Der Schädling verwandelt das eigene Smartphone zusätzlich in eine Wanze und hat Zugriff auf Mikrofon, Kamera, GPS, Adressbuch und Anrufliste. Gefährlich ist darüber hinaus die Fähigkeit des Schädlings, SMS zu verschicken oder Telefonate zu beginnen. Zu seinen Erstellern nimmt das Schadprogramm regelmäßig Kontakt auf. Die App hat es offenbar vor allem auf deutsche Nutzer abgesehen.

So prüfen Sie, ob Ihr Smartphone infiziert ist

Auf welche Software die gefälschte App aufbaut, ist unklar. Von einigen Virenscannern wird der Schädling sogar erkannt. Alternativ lässt sich der Trojaner in den Einstellungen von Android ausmachen. Findet sich dort unter Apps ein Eintrag mit dem Titel com.android.engine, so ist das eigene Mobilgerät infiziert. In diesem Fall sollte sowohl der Trojaner als auch die App, die ihn Huckepack hatte, deinstalliert werden. Dies sollte den Schädling rückstandslos entfernen.

Wie viele Nutzer die gefälschte App von Gutscheine.de heruntergeladen haben, bleibt unklar. Erkennbar wäre die gefährliche Ladung der App für Laien wohl nicht gewesen. Dass es gar keine offizielle Android-App von Gutscheine.de gibt, wissen schließlich nur wenige. Auch die fehlenden Bewertungen sind noch kein sicheres Anzeichen für eine schlechte oder gefährliche App.

Ihr

Daniel Gerb
Herausgeber "Viren-Ticker"

Viele falsche Rechnungen in Umlauf

Aktuell erreichen uns viele betrügerische E-Mails, die eine Datei mit einem Schadprogramm enthalten.

Die Betreffzeilen lauten beispielsweise "WG: Buchung/Rechnung DH80RK", "Offene Rechnung: Buchungsnummer 55746313 " oder "Ihre Rechnung D73869660572" Auch eine englischsprachige Variante mit der Betreffzeile "Invoice #66341634/15" wurde uns heute sehr oft von aufmerksamen Verbrauchern gemeldet. Diese Betrugsvarianten finden Sie in unserem Phishing-Forum. Auch wenn sich Aufbau und Form unterscheiden, ist der Inhalt letztlich immer der gleiche: Entweder hat man angeblich eine Rechnung nicht bezahlt oder man erhält eine Auftragsbestätigung. Nach dem Aufbau einer Drohkulisse wird mitgeteilt, dass es weitere Details im Anhang gäbe. Diesen dürfen die E-Mail-Empfänger keinesfalls öffnen, da man sonst einen Virus oder ein trojanisches Pferd auf seinem Computer bzw. mobilen Endgerät bekommen würde.

Weiterhin erreichen uns auch erfundene Zahlungsbestätigungen von PayPal. Entweder habe man für 69,99 Euro eine Mitgliedschaft für einen erworben oder für 499 Euro einen nicht näher bezeichneten Haushaltsroboter gekauft. Über einen Link könne man innerhalb von 24 Stunden die Zahlung stornieren. Ignorieren Sie diese E-Mail, klicken Sie keinesfalls auf Links oder Anhänge.

Quelle: Verbraucherzentrale NRW

Fehler ermglichte bernahme beliebiger Facebook-Accounts

Der indische Sicherheitsforscher Anand Prakash fand unlngst einen Weg, auf dem er mit ziemlich geringem Aufwand jeden beliebigen Facebook-Account bernehmen konnte. Er musste dafr nur die Stelle finden, an der ein Brute-Force-Angriff mit berschaubarem Zeitaufwand mglich ist und an der die Plattform nicht gegen einen solchen geschtzt ist.

Brute-Force-Attacken auf das eigentliche Passwort knnen bei unvorsichtigen Nutzern zum Erfolg fhren, wenn diese hufig genutzte Standard-Phrasen verwenden. Es geht aber einfacher: Es ist mglich, ein vergessenes Passwort zurckzusetzen. In diesem Fall muss der Nutzer seine Telefonnummer oder E-Mail-Adresse angeben und bekommt seinen sechsstelligen Zahlen-Code zugeschickt, mit dem man die Vergabe einer neuen Kennung durchfhren kann.

Eine sechsstellige Ziffernfolge ist fr ein Brute-Force-Skript kein Problem. Alle mglichen Kombinationen lassen sich hier in berschaubarem Rahmen durchprobieren. Um dies zu verhindern, beschrnkt Facebook die Zahl der mglichen Versuche - allerdings war dies nur auf der normalen Seite des Social Networks der Fall.

Die Schutzfunktion war allerdings auf Facebooks Beta-Plattform nicht aktiv. Hier wird den Nutzern eigentlich ein frher Zugriff auf kommende Features angeboten, damit diese vor dem Release fr alle Nutzer einem breiten Test unterzogen werden knnen. Wenn man fr einen Account den Password-Recovery-Prozess startete, bentigte man selbst den Zahlencode nicht, sondern konnte hier mit einem einfachen Skript einfach alle Variationen durchprobieren und anschlieend ein neues Passwort fr das gewnschte Kundenkonto vergeben.

Bei Facebook konnte man sich entsprechend glcklich schtzen, dass diese Schwachstelle einem verantwortungsbewussten Sicherheitsforscher und nicht einem Kriminellen aufgefallen war. Prakash meldete das Problem an die Betreiber des Social Networks. Dort wurde man sofort aktiv und hatte das Problem einen Tag spter bereits aus der Welt geschafft. Prakash belohnte man ber das Bug Bounty-Programm mit einer Prmie in Hhe von 15.000 Dollar.

Quelle: WinFuture