Android-Geräte im Visier: Schädling verwandelt Smartphones in Spione

Das Protokoll des beliebten Messengers Telegram missbraucht eine neue mobile Malware HeroRat, vor der Eset jetzt warnt. Der Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die das Sicherheitsunternehmen bereits im August 2017 entdeckt hat.

Eset warnt vor neuem Android-Schädling.
(Foto: AKS - Fotolia)

Eset warnt vor einem neuen Schädling: HeroRat befällt Android-Smartphones und verwandelt sie in digitale Wanzen. Dazu nutzen sie das Protokoll des Messengers Telegram. Zuvor animieren die Cyberkriminellen ihre Opfer dazu das RAT herunterzuladen, indem sie es unter verschiedenen attraktiv klingenden Schein-Apps, über App Stores von Drittanbietern, Social Media und Messaging Apps verbreiten.

»Wir haben die Malware als Apps gesehen, die kostenlose Bitcoins, kostenlose Internetverbindungen und zusätzliche Anhänger in sozialen Medien versprechen«, sagt Lukas Stefanko, Malware Forscher bei Eset. Auf Google Play sei die Malware noch nicht aktiv. Der Schädling läuft auf allen Android-Versionen. Bevor er aktiv werden kann, müssen Nutzer jedoch von der App benötigten Berechtigungen akzeptieren. Nachdem die Malware auf dem Gerät des Opfers installiert und gestartet wurde, erscheint ein Popup. Es behauptet, dass die Anwendung auf dem Gerät nicht ausgeführt werden kann und daher deinstalliert wird.

Nachdem diese vermeintliche Deinstallation abgeschlossen ist, verschwindet das Symbol der Anwendung. Gleichzeitig beginnt die Malware mit ihrer Spionagearbeit. Hierfür nutzt der Angreifer die Bot-Funktionalität von Telegram. So kann er das befallene Gerät selbst steuern und nahezu beliebig manipulieren. Dazu verfügt die Malware über eine breite Palette von Spionage- und Datei-Filterfunktionen, beispielsweise zum Abfangen von Textnachrichten und Kontakten, Nachrichten oder Audio- und Bildschirmaufzeichnungen. Auch das Abrufen der Geräteposition und die Steuerung der Geräteeinstellungen ist möglich. Das Opfer bemerkt davon nichts. Die Übertragung von Befehlen an die kompromittierten Geräte und die Übermittlung von sensiblen Daten an die Hacker werden vollständig über das Telegrammprotokoll getarnt.

So bleiben Android-Nutzer sicher

Um eine Gefährdung auszuschließen, empfiehlt sich der Scan mit einer zuverlässigen mobilen Sicherheitslösung. Von den Eset-Sicherheitslösungen wird der Schädling bereits erkannt. Der Hersteller rät außerdem dringend dazu, dass Nutzer Apps ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play-Store herunterladen. Vor dem Download von Apps ist außerdem ein Blick in die Benutzerbewertungen sinnvoll. Nicht zuletzt sollten Anwender darauf achten, welche Berechtigungen sie Apps vor und nach der Installation gewähren.