Ein neuer Android-Trojaner könnte Ihre Daten über mobile Instant Messaging-Apps wie Facebook Messenger, Twitter, Skype und andere IM-Clients stehlen.
Diese Malware wurde von Sicherheitsforschern von Trustlook, einem Unternehmen für Cybersicherheit, entdeckt. Ein am Montag veröffentlichter Bericht beschreibt den neuen Trojaner als einen einfachen, mit wenigen Fähigkeiten.
Nach dem Infizieren der App versucht der Trojaner, die Datei „/system/etc/install-recovery.sh“so zu ändern, dass sie bei jedem Öffnen der App ausgeführt werden kann.
Der Hauptzweck dieser Malware besteht offenbar darin, Daten aus Messaging-Apps zu stehlen, die später auf einen Remote-Server hochgeladen werden. Der Trojaner ruft die IP dieses Servers aus einer lokalen Konfigurationsdatei ab.
Hier ist die Liste der Apps, die von dieser Malware betroffen sein könnten:
- Facebook Messenger
- Skype
- Telegramm Messenger
- Tencent WeChat
- Viber
- Walkie Talkie Messenger von Voxer
- Gruveo Magic Call
- Linie
- Coco
- BeeTalk
- TalkBox Voice Messenger
- Momo
Obwohl es ein einfaches Design und einen einzigartigen Fokus auf das Extrahieren von IM-Daten hat, verwendet diese Malware einige fortgeschrittene Umgehungstechniken.
Laut Trustlook Labs verschleiert dieser Trojaner seine Konfigurationsdatei und einen Teil seiner Module, um eine Erkennung zu vermeiden, die es Antivirensoftware schwer macht, ihre Anwesenheit zu erkennen.
Es verwendet Anti-Emulator- und Debugger-Erkennungstechniken, um die dynamische Analyse zu umgehen, und ist in der Lage, Zeichenfolgen in seinem Quellcode auszublenden, um Code-Umkehrversuche zu verhindern.
Da der Android-Trojaner nur ein einziges Ziel verfolgt (um Daten zu stehlen), ist es durchaus möglich, dass seine Autoren versuchen, vertrauliche Daten durch private Unterhaltungen, Bilder und Videos zu sammeln, die später für die Erpressung verwendet werden könnten.
Obwohl nicht klar ist, wie diese Malware verteilt wird, haben die Forscher von Trustlab diese Malware in einer chinesischen App namens Cloud Module mit dem Paketnamen com.android.boxa entdeckt.
Da die Malware einen chinesischen Namen hat und der Play Store in China nicht verfügbar ist, verbreiten die Malware-Codierer diese infektiöse App wahrscheinlich über Links in Android-App-Foren oder App-Stores von Drittanbietern.
