Mazar: Forscher warnen vor mächtiger Android-Malware

17. Februar 2016, 14:12
17 Postings

Verwendet Tor-Netzwerk um Spuren zu verwischen – Kann volle Kontrolle übernehmen, braucht aber reichlich Mitarbeit der Nutzer

Der Sicherheitsdienstleister Heimdal Security warnt vor eine aktuellen Bedrohung für Android-Nutzer. Demnach werde die Malware Mazar seit kurzem für Angriffe gegen Smartphones mit dem Betriebssystem von Google eingesetzt.

Viele Möglichkeiten

Bei Mazar handelt es sich um ein recht mächtiges Stück Malware: Einmal installiert kann die Schadsoftware ein Android-Gerät praktisch vollständig übernehmen. Mazar besitzt unter anderem die Möglichkeit Premium-SMS zu verschicken, sensible Daten wie Bank-Login-Informationen auszulesen oder auch das System zu rooten und so die Firmware zu beschädigen oder gar zu löschen.

Tor

Durchaus interessant sind auch die technischen Details von Mazar: Installiert die Malware doch als erstes den offiziellen Client für das Tor-Netzwerk. Mit dessen Hilfe wird dann eine anonyme Verbindung zu einem Command-and-Control-Server aufgenommen. Danach schickt Mazar eine SMS an eine iranische Telefonnummer, in der unter anderem der Standort des Smartphones übermittelt wird. Zudem wird der HTTP Proxy Polipo auf dem Gerät installiert, um die Verbindung zu Webseiten mitlesen zu können.

Russischer Background

Mazar ist übrigens nicht vollständig neu, er ist zum ersten Mal bereits vor neuen Monaten in einem russischen Hacker-Forum aufgetaucht, nun wurde die Malware aber erstmal in "freier Wildbahn" gesichtet. Dazu passt auch, dass er auf Geräten mit russischen Spracheinstellungen keinerlei Schadfunktionen entfaltet.

Akute Gefährdung verzweifelt gesucht

So interessant Mazar aus technischer Sicht fraglos ist, die Aussagen zur konkreten Gefährdungslage sind allerdings reichlich dick aufgetragen. So behauptet Heimdal Security gegenüber der BBC, dass Mazar bereits an "mehr als 100.000 Smartphones in Dänemark per SMS versendet werden hätte können". Eine Aussage die nicht nur einen kreativen Konjunktiv beinhaltet, der den Informationsgehalt bei genauer Betrachtung vollständig eliminiert, sondern die vor allem nichts darüber aussagt, wieviele Geräte tatsächlich infiziert wurden.

Einschätzung

Ein Blick auf den aktuellen Vorfall lässt vermuten: Es dürften nicht all zu viele sein. Benötigt Mazar doch ordentlich die Mithilfe der Nutzer, um auf ein Smartphone zu kommen. Angriffsweg ist nämlich keine Sicherheitslücke in Android, viel mehr versuchen es die Angreifer mit dem Austricksen der User. Es wird eine Textnachricht versandt, in der sich ein Link auf eine vermeintliche MMS-Message befindet. In Wirklichkeit befindet sich dahinter aber ein Android-Paket in dem die Schadsoftware versteckt ist.

Mithilfe gefragt

Über einen simplen Klick auf diesen Link fängt man sich Mazar aber noch nicht ein, immerhin greifen zunächst einige grundlegende Android-Sicherheitssperren. Ein User müsste also zunächst die Installation von Paketen aus unbekannten Quellen in den Einstellungen zulassen, Googles Malware-Scanner aushebeln, eine lange Liste an Berechtigungen gewähren und zu guter Letzt auch noch der Einrichtung der Software als Gerätemanager zustimmen.

Einfach Abhilfe

Für die Nutzer gilt insofern einmal mehr der Ratschlag: Wer sich seine Apps nur aus dem Play Store besorgt und nicht achtlos irgendwelchen Anfragen zustimmt, braucht sich aktuell um Mazar auch keine Sorgen machen. (Andreas Proschofsky, 17.2.2016)

  • Artikelbild
    foto: gustau nacarino / reuters
Share if you care.