HummingBad: Neuer Android-Trojaner befällt 10 Millionen Geräte

6. Juli 2016, 13:23
30 Postings

Vor allem chinesische und indische Nutzer betroffen – Entwickler machen 300.000 Dollar monatliche über eingeschleuste Werbung

Angesichts der mangelhaften Update-Situation unter Android ist es eigentlich nur eine Frage der Zeit, bis es zur ersten wirklich massenhaften Malware-Kampagne gegen Googles Betriebssystem kommt, warnen Sicherheitsexperten seit geraumer Zeit. Nun scheint dieser Zeitpunkt gekommen zu sein – zumindest in einigen Ländern.

HummingBad

In einem aktuellen Blogeintrag warnt Check Point vor einem Trojaner namens HummingBad, der sich mittlerweile weltweit auf rund 10 Millionen Smartphones eingenistet haben soll. Die Malware ist dabei erstmals bereits im Februar aufgetaucht, hat in den letzten Wochen aber deutlich stärkere Verbreitung gefunden als zuvor.

Das Besondere an HummingBad ist die professionelle Art der Entwicklung. Hinter der Malware soll eine chinesische Gruppe namens Yingmob stehen, die dem Bericht zur Folge 25 Hacker anstellt, die immer neue Schadmodule entwickeln. Dabei bedient man sich bekannter Sicherheitslücken in Android, und packt die daraus resultierende Malware in unverdächtig scheinende Spiele oder Anwendungen, die jenseits des Play Stores vertrieben werden. Zum Teil wurde die Schadsoftware aber auch über "Drive-by-Attacken" beim Besuch von infizierten Webseiten verbreitet – wobei die User natürlich auch hier der Installation manuell zustimmen müssen.

Rootkit

Einmal auf dem Gerät angelangt, installiert HummingBad – wenn möglich – ein Rootkit, mit dem die vollständige Kontrolle übernommen wird. Scheitert dies bekommen die Nutzer eine Benachrichtigung, über die sie dazu gebracht werden sollen, der App Administrationsberechtigungen einzuräumen. Zudem wird Kontakt mit einem Command & Control Server aufgenommen, der der Malware weitere Anweisungen gibt.

Ziel von HummingBad ist – zumindest vorerst – allerdings nicht das Ausspionieren der Nutzer, viel mehr stecken dahinter recht simple finanzielle Motive. Der Trojaner bringt Werbeinschaltungen auf das befallene Gerät, Yingmob soll mit dieser Form des Klickbetrugs aktuell pro Monat rund 300.000 US-Dollar einnehmen. Dies erklärt natürlich auch, wie man sich die Zahl der Angestellten leisten kann. Parallel dazu soll Hummingbad aber auch die Geräte für ein Botnetz zusammenschließen können, und natürlich besteht auch die Möglichkeit weitere Schad- und Spionagefunktionen bei Bedarf nachzuladen.

Details

Der allergrößte Teil der infizierten Geräte befindet sich laut Check Point in China und in Indien, wohingegen bisher in Europa nur vergleichsweise wenige Infektionen bekannt sind. Auch die Statistik der damit infizierten Geräte ist interessant, wird sie doch – wenig überraschend – fast zur Gänze von älteren Softwaregenerationen wie "Kit Kat" (Android 4.4) sowie "Jelly Bean" Android 4.1 bis 4.3) geprägt.

Yingmob ist übrigens keine neue Gruppe. So sollen die chinesischen Hacker auch für die iOS-Malware Yispecter verantwortlich zeichnen, vermuten zumindest die Sicherheitsforscher.

Tipps

Für Android-Nutzer gelten angesichts des aktuellen Berichts die selben Ratschläge, die es ohnehin auch sonst immer zu bedenken gilt. Wer nur Apps aus dem Play Store installiert, und darauf achtet Apps nicht wahllos Administrationsrechte zu geben, reduziert das Risiko auf ein Minimum. Angesichts der Bedrohungen der letzten Monate, wird es aber auch zunehmend wichtiger, schon beim Smartphone-Kauf darauf zu achten, welche Hersteller wirklich zeitnah und zuverlässig Updates liefern. (Andreas Proschofsky, 6.7.2016)

  • Artikelbild
    foto: google
Share if you care.