Security Intelligence Center

Navigation
Mobile Signaturen

Das Juniper Networks Mobile Threat Center (MTC) ist eine einzigartige Forschungseinrichtung, die sich rund um die Uhr der Erforschung von Sicherheitslücken, Schwachstellen und Malware in Bezug auf mobile Geräteplattformen und Technologien widmet. Das MTC untersucht sowohl die immer ausgeklügelteren Angriffe als auch neue Bedrohungen im Rahmen der mobilen Cyberkriminalität und potenzielle Schwachstellen, die Ausnutzung und Missbrauch von mobilen Geräten und Daten ermöglichen.

ANDROID

A.ADRD.1

Name A.ADRD.1
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.10

Name A.ADRD.10
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.11

Name A.ADRD.11
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.12

Name A.ADRD.12
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.13

Name A.ADRD.13
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.14

Name A.ADRD.14
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.15

Name A.ADRD.15
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.16

Name A.ADRD.16
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.17

Name A.ADRD.17
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.18

Name A.ADRD.18
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.19

Name A.ADRD.19
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.2

Name A.ADRD.2
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.20

Name A.ADRD.20
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.21

Name A.ADRD.21
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.22

Name A.ADRD.22
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.23

Name A.ADRD.23
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.24

Name A.ADRD.24
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.25

Name A.ADRD.25
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.26

Name A.ADRD.26
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.27

Name A.ADRD.27
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.3

Name A.ADRD.3
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.4

Name A.ADRD.4
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.5

Name A.ADRD.5
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.6

Name A.ADRD.6
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.7

Name A.ADRD.7
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.8

Name A.ADRD.8
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.9

Name A.ADRD.9
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.ADRD.a1

Name A.ADRD.a1
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 50

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten. Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt: Seit Betriebssystemstart sind zwölf Stunden vergangen, die Netzwerkverbindung hat sich geändert, auf dem Gerät geht ein Anruf ein. ADRD versucht dann, folgende Daten zu erfassen: 3Gnet, 3Gwap, Cmnet, Cmwap, Hardwareinformationen: IMEI, IMSI, Netzwerkkonnektivität: uninet, uniwap, Wifi. Der Trojaner verschlüsselt die gestohlenen Informationen und versucht, sie an folgende Websites zu senden: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED]. Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt: wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]. Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen. ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden: sdcard/uc/myupdate.apk

A.Android FlexiSpy.a

Name A.Android FlexiSpy.a
Kategorie
Veröffentlichungsdatum 22.03.2010
Update-Nummer 1

Der Trojaner zeichnet Anrufe und SMS-Nachrichten auf und sendet sie an einen Remote-Server. Es handelt sich eigentlich um eine Anwendung, die speziell zu diesem Zweck programmiert wurde. Sie wird jedoch heimlich, ohne Hinweise auf den Zweck ausgeführt und somit als Trojaner eingestuft. FlexiSpy ist in verschiedenen Softwarepaketen mit einem zunehmenden Funktionsumfang erhältlich, und alle Funktionen werden auch unterstützt.

A.Anserv.a

Name A.Anserv.a
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Anserver umfasst eine Reihe bösartiger Apps für Android-Geräte. Die mit Anserver infizierten Anwendungen können sich mit einem Remote-Server verbinden, der vom Entwickler der Malware kontrolliert wird. Es sollen weitere Schädlinge auf das Gerät heruntergeladen und ohne die Einwilligung des Benutzers installiert werden. Es ist auch bekannt, dass Anserver versucht, Anwendungen zur mobilen Sicherheit zu identifizieren, um sie zu zerstören. Darüber hinaus ist Anserver in einer rechtmäßigen, von einem Trojaner befallenen Hostanwendung verpackt. Auf diese Weise soll der Benutzer in die Irre geführt und zur Installation verleitet werden. Nach der Installation einer mit Anserver infizierten App wird bösartiger Code als „Touch Screen“ auf dem Gerät installiert. Der Benutzer wird in betrügerischer Absicht aufgefordert, ein falsches Upgrade der ursprünglichen Hostanwendung zu akzeptieren. Sobald alles installiert ist, wird Anserver auf verschiedene Arten angestoßen: – Änderung der Verbindung – Einschalten des Geräts – Anschließen oder Entfernen eines USB-Massenspeichers – Empfang einer SMS-Nachricht – Änderung der Eingabemethode – Boot abgeschlossen – Entsperren des Geräts Nachdem die Malware erfolgreich gestartet wurde, ruft Anserver den Home-Server an und überprüft ihn auf neue „Command and Control“ (C&C)-Serveradressen. Bei erfolgreicher Verbindung empfängt Anserver Befehle zum Aktualisieren seiner C&C-Serverdatenbank in Klartext-XML. Schließlich ist Anserver in der Lage, potenziell sensible Geräteinformationen (Betriebssystemversion, IMEI-Nummer, Gerätehersteller und Gerätemodell) an die Entwickler zu übertragen.

A.AnserverBot

Name A.AnserverBot
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

Anserver umfasst eine Reihe bösartiger Anwendungen für Android-Geräte. Die mit Anserver infizierten Anwendungen können sich mit einem Remote-Server verbinden, der vom Entwickler der Malware kontrolliert wird. Es sollen weitere Schädlinge auf das Gerät heruntergeladen und ohne die Einwilligung des Benutzers installiert werden. Es ist auch bekannt, dass Anserver versucht, Anwendungen zur mobilen Sicherheit zu identifizieren, um sie zu zerstören. Darüber hinaus ist Anserver in einer rechtmäßigen, von einem Trojaner befallenen Hostanwendung verpackt. Auf diese Weise soll der Benutzer in die Irre geführt und zur Installation verleitet werden. Nach der Installation einer mit Anserver infizierten App wird bösartiger Code als „Touch Screen“ auf dem Gerät installiert. Der Benutzer wird in betrügerischer Absicht aufgefordert, ein falsches Upgrade der ursprünglichen Hostanwendung zu akzeptieren. Sobald alles installiert ist, wird Anserver auf verschiedene Arten angestoßen: – Änderung der Verbindung – Einschalten des Geräts – Anschließen oder Entfernen eines USB-Massenspeichers – Empfang einer SMS-Nachricht – Änderung der Eingabemethode – Boot abgeschlossen – Entsperren des Geräts Nachdem die Malware erfolgreich gestartet wurde, ruft Anserver den Home-Server an und überprüft ihn auf neue „Command and Control“ (C&C)-Serveradressen. Bei erfolgreicher Verbindung empfängt Anserver Befehle zum Aktualisieren seiner C&C-Serverdatenbank in Klartext-XML. Schließlich ist Anserver in der Lage, potenziell sensible Geräteinformationen (Betriebssystemversion, IMEI-Nummer, Gerätehersteller und Gerätemodell) an die Entwickler zu übertragen.

A.AnserverBot.2

Name A.AnserverBot.2
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

Anserver umfasst eine Reihe bösartiger Anwendungen für Android-Geräte. Die mit Anserver infizierten Anwendungen können sich mit einem Remote-Server verbinden, der vom Entwickler der Malware kontrolliert wird. Es sollen weitere Schädlinge auf das Gerät heruntergeladen und ohne die Einwilligung des Benutzers installiert werden. Es ist auch bekannt, dass Anserver versucht, Anwendungen zur mobilen Sicherheit zu identifizieren, um sie zu zerstören. Darüber hinaus ist Anserver in einer rechtmäßigen, von einem Trojaner befallenen Hostanwendung verpackt. Auf diese Weise soll der Benutzer in die Irre geführt und zur Installation verleitet werden. Nach der Installation einer mit Anserver infizierten App wird bösartiger Code als „Touch Screen“ auf dem Gerät installiert. Der Benutzer wird in betrügerischer Absicht aufgefordert, ein falsches Upgrade der ursprünglichen Hostanwendung zu akzeptieren. Sobald alles installiert ist, wird Anserver auf verschiedene Arten angestoßen: – Änderung der Verbindung – Einschalten des Geräts – Anschließen oder Entfernen eines USB-Massenspeichers – Empfang einer SMS-Nachricht – Änderung der Eingabemethode – Boot abgeschlossen – Entsperren des Geräts Nachdem die Malware erfolgreich gestartet wurde, ruft Anserver den Home-Server an und überprüft ihn auf neue „Command and Control“ (C&C)-Serveradressen. Bei erfolgreicher Verbindung empfängt Anserver Befehle zum Aktualisieren seiner C&C-Serverdatenbank in Klartext-XML. Schließlich ist Anserver in der Lage, potenziell sensible Geräteinformationen (Betriebssystemversion, IMEI-Nummer, Gerätehersteller und Gerätemodell) an die Entwickler zu übertragen.

A.AnserverBot.3

Name A.AnserverBot.3
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

Anserver umfasst eine Reihe bösartiger Anwendungen für Android-Geräte. Die mit Anserver infizierten Anwendungen können sich mit einem Remote-Server verbinden, der vom Entwickler der Malware kontrolliert wird. Es sollen weitere Schädlinge auf das Gerät heruntergeladen und ohne die Einwilligung des Benutzers installiert werden. Es ist auch bekannt, dass Anserver versucht, Anwendungen zur mobilen Sicherheit zu identifizieren, um sie zu zerstören. Darüber hinaus ist Anserver in einer rechtmäßigen, von einem Trojaner befallenen Hostanwendung verpackt. Auf diese Weise soll der Benutzer in die Irre geführt und zur Installation verleitet werden. Nach der Installation einer mit Anserver infizierten App wird bösartiger Code als „Touch Screen“ auf dem Gerät installiert. Der Benutzer wird in betrügerischer Absicht aufgefordert, ein falsches Upgrade der ursprünglichen Hostanwendung zu akzeptieren. Sobald alles installiert ist, wird Anserver auf verschiedene Arten angestoßen: – Änderung der Verbindung – Einschalten des Geräts – Anschließen oder Entfernen eines USB-Massenspeichers – Empfang einer SMS-Nachricht – Änderung der Eingabemethode – Boot abgeschlossen – Entsperren des Geräts Nachdem die Malware erfolgreich gestartet wurde, ruft Anserver den Home-Server an und überprüft ihn auf neue „Command and Control“ (C&C)-Serveradressen. Bei erfolgreicher Verbindung empfängt Anserver Befehle zum Aktualisieren seiner C&C-Serverdatenbank in Klartext-XML. Schließlich ist Anserver in der Lage, potenziell sensible Geräteinformationen (Betriebssystemversion, IMEI-Nummer, Gerätehersteller und Gerätemodell) an die Entwickler zu übertragen.

A.BaseBridge.b

Name A.BaseBridge.b
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

BaseBridge kommt in einer Reihe von raubkopierten, mit Trojanern versehenen Hostanwendungen vor, die ein Android-Benutzer für rechtmäßige Anwendungen hält. Die mit BaseBridge infizierten Anwendungen nutzen die Schwachstelle „udev“ (BID 34536) in Android 2.2-Geräten und früheren Versionen, um Root-Privilegien auf dem infizierten Gerät zu erlangen. Sobald Root-Privilegien abgerufen sind, legen die mit BaseBridge infizierten Anwendungen den schädlichen Code namens „SMSApp.apk“ ab. Dieser wird im Anwendungspaket in „/res/raw/anservb“ gespeichert. Nach der erfolgreichen Installation stellt SMSApp.apk die Verbindung zu einem Remote-Server über Port 8080 her, um Informationen zu senden, die das Gerät identifizieren, z. B.: „Teilnehmer-ID“, „Hersteller und Modell“ sowie „Android-Version“. Anschließend werden die mit BaseBridge infizierten Apps so konfiguriert, dass sie eine Reihe SMS-Nachrichten an SMS-Nummern mit Premium-Tarifen senden. Die Kosten pro Nachricht gehen dann zulasten des Mobiltelefonkontos. Diese Beträge sind fast nie rückerstattungsfähig. BaseBridge kann auch SMS-Nachrichten aus dem Eingangsordner des mobilen Geräts löschen. Die Chancen, dass der Benutzer den Versand der Premium-SMS-Nachrichten bemerkt, verringern sich. Vom Gerät können also weiterhin ohne Einwilligung des Nutzers Nummern angewählt werden.

A.BaseBridge.f

Name A.BaseBridge.f
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

BaseBridge kommt in einer Reihe von raubkopierten, mit Trojanern versehenen Hostanwendungen vor, die ein Android-Benutzer für rechtmäßige Anwendungen hält. Die mit BaseBridge infizierten Anwendungen nutzen die Schwachstelle „udev“ (BID 34536) in Android 2.2-Geräten und früheren Versionen, um Root-Privilegien auf dem infizierten Gerät zu erlangen. Sobald Root-Privilegien abgerufen sind, legen die mit BaseBridge infizierten Anwendungen den schädlichen Code namens „SMSApp.apk“ ab. Dieser wird im Anwendungspaket in „/res/raw/anservb“ gespeichert. Nach der erfolgreichen Installation stellt SMSApp.apk die Verbindung zu einem Remote-Server über Port 8080 her, um Informationen zu senden, die das Gerät identifizieren, z. B.: „Teilnehmer-ID“, „Hersteller und Modell“ sowie „Android-Version“. Anschließend werden die mit BaseBridge infizierten Apps so konfiguriert, dass sie eine Reihe SMS-Nachrichten an SMS-Nummern mit Premium-Tarifen senden. Die Kosten pro Nachricht gehen dann zulasten des Mobiltelefonkontos. Diese Beträge sind fast nie rückerstattungsfähig. BaseBridge kann auch SMS-Nachrichten aus dem Eingangsordner des mobilen Geräts löschen. Die Chancen, dass der Benutzer den Versand der Premium-SMS-Nachrichten bemerkt, verringern sich. Vom Gerät können also weiterhin ohne Einwilligung des Nutzers Nummern angewählt werden.

A.Basebrid.1

Name A.Basebrid.1
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

BaseBridge kommt in einer Reihe von raubkopierten, mit Trojanern versehenen Hostanwendungen vor, die ein Android-Benutzer für rechtmäßige Anwendungen hält. Die mit BaseBridge infizierten Anwendungen nutzen die Schwachstelle „udev“ (BID 34536) in Android 2.2-Geräten und früheren Versionen, um Root-Privilegien auf dem infizierten Gerät zu erlangen. Sobald Root-Privilegien abgerufen sind, legen die mit BaseBridge infizierten Anwendungen den schädlichen Code namens „SMSApp.apk“ ab. Dieser wird im Anwendungspaket in „/res/raw/anservb“ gespeichert. Nach der erfolgreichen Installation stellt SMSApp.apk die Verbindung zu einem Remote-Server über Port 8080 her, um Informationen zu senden, die das Gerät identifizieren, z. B.: „Teilnehmer-ID“, „Hersteller und Modell“ sowie „Android-Version“. Anschließend werden die mit BaseBridge infizierten Apps so konfiguriert, dass sie eine Reihe SMS-Nachrichten an SMS-Nummern mit Premium-Tarifen senden. Die Kosten pro Nachricht gehen dann zulasten des Mobiltelefonkontos. Diese Beträge sind fast nie rückerstattungsfähig. BaseBridge kann auch SMS-Nachrichten aus dem Eingangsordner des mobilen Geräts löschen. Die Chancen, dass der Benutzer den Versand der Premium-SMS-Nachrichten bemerkt, verringern sich. Vom Gerät können also weiterhin ohne Einwilligung des Nutzers Nummern angewählt werden.

A.BlitzF.a

Name A.BlitzF.a
Kategorie
Veröffentlichungsdatum 16.08.2010
Update-Nummer 1

„com.blitzforce.massada“ ist der Name eines Proof-of-Concept (PoC)-Malware-Pakets von der Blitz Force Massada Group der University of Electronic Science and Technology of China, das Android-Geräte im Visier hat. Als PoC richtet com.blitzforce.massada keinen ersichtlichen Schaden an, es zeigt vielmehr ein Sicherheitsproblem durch potenzielle Malware auf. Com.blitzforce.massada nutzt viele verschiedene Angriffe, um folgende Sicherheitslücken zu verdeutlichen: - Eingehende Anrufe werden ohne Benutzereingriffe akzeptiert - Das Telefon beendet Anrufe ohne Benutzereingriff - Das Funkmodul des Geräts wird ausgeschaltet, um ein- oder ausgehende Anrufe zu verhindern - Es werden sensible Geräteinformationen erfasst, um sie an Remote-Server zu senden

A.DDLight.a

Name A.DDLight.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

DroidDream Light ist eine Variante des Vorgängers DroidDream, der den offiziellen Android Market traf. Wie sein Vorgänger kommt der Trojaner DroidDream Light in raubkopierten, manipulierten Android-Anwendungen vor. Analysen weisen darauf hin, dass der Schadcode in den raubkopierten, mit Trojanern infizierten Apps bei Empfang eines eingehenden Anrufs aktiviert wird. Nachdem er initialisiert wurde, erfasst DroidDream Light die folgenden Informationen und sendet sie an einen Remote-Server: - IMEI-Nummer - Telefonnummer - Gerätemodell - Android-Version Die mit DroidDream Light infizierten Apps sind auch in der Lage, weitere Pakete von einem Remote-Server herunterzuladen und zu installieren. Im Unterschied zu seinem Vorgänger DroidDream verfügt DroidDream Light nicht über die Möglichkeit, diese weiteren Apps im Hintergrund zu installieren. Der Benutzer wird also zur Installation aufgefordert.

A.DrdDream.a

Name A.DrdDream.a
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

DroidDream war der erste enorm gefährliche Trojaner im Android Market. DroidDream tauchte in einer Reihe von raubkopierten, mit Trojanern infizierten Apps auf. Die Malware-Entwickler packten bösartigen Code in bekannte Apps und veröffentlichten diese neben den rechtmäßigen Apps. DroidDream nutzte den „rageagainstthecage“ Root-Exploit, um Rootrechte auf den infizierten Geräten zu erlangen. Mit diesen Rootrechten packte DroidDream zusätzlichen Schadcode in die Apps, der sich ohne Kenntnis des Benutzers unbeaufsichtigt im Hintergrund installierte. Das zusätzliche Codepaket ermöglicht dem Trojaner die Erfassung der folgenden Gerätedaten: - Produkt-ID - Modell - Service Provider - Sprache des Geräts - Die auf dem Gerät konfigurierte UserId Diese Informationen werden dann an einen Remote-Server übertragen. DroidDream ging sogar noch einen Schritt weiter und ermöglichte dem Trojaner, nach Belieben weitere Apps herunterzuladen und im Hintergrund zu installieren. Die Einsatzmöglichkeiten der Malware waren fast unbegrenzt, und dies, ohne dass der Benutzer davon etwas merkte.

A.DroidDream

Name A.DroidDream
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

DroidDream war der erste enorm gefährliche Trojaner im Android Market. DroidDream tauchte in einer Reihe von raubkopierten, mit Trojanern infizierten Apps auf. Die Malware-Entwickler packten bösartigen Code in bekannte Apps und veröffentlichten diese neben den rechtmäßigen Apps. DroidDream nutzte den „rageagainstthecage“ Root-Exploit, um Rootrechte auf den infizierten Geräten zu erlangen. Mit diesen Rootrechten packte DroidDream zusätzlichen Schadcode in die Apps, der sich ohne Kenntnis des Benutzers unbeaufsichtigt im Hintergrund installierte. Das zusätzliche Codepaket ermöglicht dem Trojaner die Erfassung der folgenden Gerätedaten: - Produkt-ID - Modell - Service Provider - Sprache des Geräts - Die auf dem Gerät konfigurierte UserId Diese Informationen werden dann an einen Remote-Server übertragen. DroidDream ging sogar noch einen Schritt weiter und ermöglichte dem Trojaner, nach Belieben weitere Apps herunterzuladen und im Hintergrund zu installieren. Die Einsatzmöglichkeiten der Malware waren fast unbegrenzt, und dies, ohne dass der Benutzer davon etwas merkte.

A.DroidDream.2

Name A.DroidDream.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

DroidDream war der erste enorm gefährliche Trojaner im Android Market. DroidDream tauchte in einer Reihe von raubkopierten, mit Trojanern infizierten Apps auf. Die Malware-Entwickler packten bösartigen Code in bekannte Apps und veröffentlichten diese neben den rechtmäßigen Apps. DroidDream nutzte den „rageagainstthecage“ Root-Exploit, um Rootrechte auf den infizierten Geräten zu erlangen. Mit diesen Rootrechten packte DroidDream zusätzlichen Schadcode in die Apps, der sich ohne Kenntnis des Benutzers unbeaufsichtigt im Hintergrund installierte. Das zusätzliche Codepaket ermöglicht dem Trojaner die Erfassung der folgenden Gerätedaten: - Produkt-ID - Modell - Service Provider - Sprache des Geräts - Die auf dem Gerät konfigurierte UserId Diese Informationen werden dann an einen Remote-Server übertragen. DroidDream ging sogar noch einen Schritt weiter und ermöglichte dem Trojaner, nach Belieben weitere Apps herunterzuladen und im Hintergrund zu installieren. Die Einsatzmöglichkeiten der Malware waren fast unbegrenzt, und dies, ohne dass der Benutzer davon etwas merkte.

A.DroidDream.3

Name A.DroidDream.3
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

DroidDream war der erste enorm gefährliche Trojaner im Android Market. DroidDream tauchte in einer Reihe von raubkopierten, mit Trojanern infizierten Apps auf. Die Malware-Entwickler packten bösartigen Code in bekannte Apps und veröffentlichten diese neben den rechtmäßigen Apps. DroidDream nutzte den „rageagainstthecage“ Root-Exploit, um Rootrechte auf den infizierten Geräten zu erlangen. Mit diesen Rootrechten packte DroidDream zusätzlichen Schadcode in die Apps, der sich ohne Kenntnis des Benutzers unbeaufsichtigt im Hintergrund installierte. Das zusätzliche Codepaket ermöglicht dem Trojaner die Erfassung der folgenden Gerätedaten: - Produkt-ID - Modell - Service Provider - Sprache des Geräts - Die auf dem Gerät konfigurierte UserId Diese Informationen werden dann an einen Remote-Server übertragen. DroidDream ging sogar noch einen Schritt weiter und ermöglichte dem Trojaner, nach Belieben weitere Apps herunterzuladen und im Hintergrund zu installieren. Die Einsatzmöglichkeiten der Malware waren fast unbegrenzt, und dies, ohne dass der Benutzer davon etwas merkte.

A.DroidDream.n

Name A.DroidDream.n
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

DroidDream war der erste enorm gefährliche Trojaner im Android Market. DroidDream tauchte in einer Reihe von raubkopierten, mit Trojanern infizierten Apps auf. Die Malware-Entwickler packten bösartigen Code in bekannte Apps und veröffentlichten diese neben den rechtmäßigen Apps. DroidDream nutzte den „rageagainstthecage“ Root-Exploit, um Rootrechte auf den infizierten Geräten zu erlangen. Mit diesen Rootrechten packte DroidDream zusätzlichen Schadcode in die Apps, der sich ohne Kenntnis des Benutzers unbeaufsichtigt im Hintergrund installierte. Das zusätzliche Codepaket ermöglicht dem Trojaner die Erfassung der folgenden Gerätedaten: - Produkt-ID - Modell - Service Provider - Sprache des Geräts - Die auf dem Gerät konfigurierte UserId Diese Informationen werden dann an einen Remote-Server übertragen. DroidDream ging sogar noch einen Schritt weiter und ermöglichte dem Trojaner, nach Belieben weitere Apps herunterzuladen und im Hintergrund zu installieren. Die Einsatzmöglichkeiten der Malware waren fast unbegrenzt, und dies, ohne dass der Benutzer davon etwas merkte.

A.EicarAndr

Name A.EicarAndr
Kategorie
Veröffentlichungsdatum 01.11.2011
Update-Nummer 37

DIE EICAR ANTI-VIRUS TEST APPLICATION IST EINE GUTARTIGE ANWENDUNG. SIE RICHTET AUF IHREM GERÄT KEINERLEI SCHADEN AN. Diese App zeigt lediglich eine Meldung ähnlich der oben genannten an. Sie erfordert keine Berechtigungen bei der Installation. Sie liest keine Daten, greift nicht auf das Internet zu, noch erstellt sie irgendwelche Dateien. Sie wird nicht im Hintergrund ausgeführt, startet nicht automatisch und macht auch sonst nichts, außer eine Meldung anzuzeigen. Sie enthält jedoch Text, der vom European Institute for Computer Antivirus Research (EICAR) erstellt wurde. Dieser Text sollte von jedem Virenscanner sicher als Virus erkannt werden. Damit können Benutzer testen, ob Antivirenprogramme korrekt funktionieren, ohne die Geräte mit einem echten Virus oder mit Malware zu infizieren. Eines möchten wir unmissverständlich klarstellen: Diese App ist vollkommen harmlos, sollte jedoch als Virus erkannt werden. Das ist der einzige Zweck. Wenn Sie einen Virenscanner auf Ihrem Handy ausführen, sollte er diese App bei der Installation als Virus erkennen. Detaillierte Informationen finden Sie bei der Suche nach „EICAR-Testdatei“ in Wikipedia oder auf der EICAR-Website unter eicar.org.

A.FakePlayer.gen

Name A.FakePlayer.gen
Kategorie
Veröffentlichungsdatum 14.09.2010
Update-Nummer 1

„Fake Player“ ist der erste SMS-Trojaner, der Android-Geräte attackiert. Diese Anwendung gelangt auf das Smartphone in Form eines APK (Android Package) namens „ru.apk“. In der Anwendungsliste des Geräts ist sie unter dem Namen „org.me.androidapplication1“ aufgeführt und wird im App-Drawer als „Movie Player“ angezeigt. Die Analyse ergab, dass es sich bei „Fake Player“ um eine eher rudimentäre Anwendung handelt. Der Entwickler erstellte eine einfache „Hello, World“-App und modifizierte den Code so, dass nur sehr einfache SMS-Funktionen mit Anforderung der SMS_SEND-Berechtigung enthalten sind. Der in „Fake Player“ getarnte SMS-Trojaner sendet nach der Installation SMS-Nachrichten mit der Ziffernfolge 798657 im Nachrichtentext an die gebührenpflichtige Premium-SMS-Nummer 3353. Für jede versandte Nachricht wird dann das Mobiltelefonkonto belastet. Nachdem die SMS-Nachricht gesendet wurde, sendet der Trojaner dieselbe Nachricht an die Kurzwahlnummer 3354 und eine dritte Nachricht an 3353. Laut Analyse wurde „Fake Player“ nur über Drittanbieter-Kanäle verteilt und existierte in keinem lokalen Android Market. Zudem geht man davon aus, dass „Fake Player“ außerhalb der Netze russischer Carrier gar nicht richtig funktionieren würde. Denn die konfigurierten Kurzwahlnummern gibt es nur in russischen Netzen, und die sind von Carrier-Netzen außerhalb Russlands nicht erreichbar. Darüber hinaus kann sich „Fake Player“ nicht selbst verbreiten, da der Benutzer des Geräts die notwendigen Aktionen zur Installation der App einleiten und die angeforderten Berechtigungen genehmigen muss.

A.FakeTr.a

Name A.FakeTr.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Fake Trusteer fordert Benutzer zur Eingabe eines unnötigen Schlüssels auf der „Bank-Website“ für Smartphone-Banking auf. Infoleck.

A.Flexispy.gen

Name A.Flexispy.gen
Kategorie
Veröffentlichungsdatum 22.02.2012
Update-Nummer 50

FlexiSpy ist ein kommerzielles Spionagetool, das die meisten großen Mobilplattformen angreift. Flexispy zeichnet Anrufe und SMS-Nachrichten auf und sendet diese an einen Remote-Server. Es handelt sich eigentlich um eine Anwendung, die speziell zu diesem Zweck programmiert wurde. Sie wird jedoch heimlich, ohne Hinweise auf den Zweck ausgeführt und somit als Trojaner eingestuft. FlexiSpy ist in verschiedenen Softwarepaketen mit einem zunehmenden Funktionsumfang erhältlich, und alle Funktionen werden auch unterstützt. Folgende Funktionen sind im kompletten Funktionssatz enthalten: Fernabhören, Telefonkontrolle durch SMS, SMS- und E-Mail-Protokollierung, Ruflistenprotokollierung, Standortverfolgung, Rufüberwachung, GPS-Ortung, Abschirmung, Schwarze Liste, Weiße Liste, Web-Support, Sichere Anmeldung, Berichtsanzeige, Erweiterte Suche, Berichts-Download, Sonderfunktionen, Benachrichtigung bei SIM-Austausch, GPRS-Funktion erforderlich, Aufgezeichnetes Gespräch abhören

A.Foncy.a

Name A.Foncy.a
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

Foncy ist ein SMS-Trojaner, der in legitime Apps eingepflanzt wurde. Mit einer bestimmten Methode ruft er den Ländercode des Geräts ab und verschickt dann SMS-Nachrichten an kostenpflichtige Premium-SMS-Dienste in dem entsprechenden Land. Derzeit greift Foncy Benutzer und Länder in Europa an.

A.GGTracker

Name A.GGTracker
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

GGTracker ist ein Trojaner für Android-Geräte, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet und auch vertrauliche Gerätedaten erfasst. Wird der Trojaner ausgeführt, sendet er die Telefonnummer des betreffenden Geräts, damit der Überwachungsserver SMS-Nachrichten an das Gerät übermitteln kann. Dann überprüft der Trojaner die empfangenen SMS-Nachrichten und fängt diejenigen von folgenden Nummern ab: 00033335 00036397 33335 36397 46621 55991 55999 56255 96512 99735 Auf SMS-Nachrichten von der Nummer 41001 antwortet er mit der folgenden SMS: YES Der Trojaner kann die folgenden Informationen erfassen: - Telefonnummer des Geräts - Name des Netzbetreibers - Absender und Inhalt der abgefangenen SMS-Nachrichten - Absender und Inhalt der SMS-Nachrichten im Eingangsordner - Version des Android-Betriebssystems Die erfassten Daten werden schließlich an die folgende Netzwerkadresse gesendet: http://www.amaz0n-cloud.com/droid/droid.php

A.GGTracker.b

Name A.GGTracker.b
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

GGTracker ist ein Trojaner für Android-Geräte, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet und auch sensible Geräteinformationen erfasst. Wird der Trojaner ausgeführt, sendet er die Telefonnummer des betreffenden Geräts, damit der Überwachungsserver SMS-Nachrichten an das Gerät übermitteln kann. Dann überprüft der Trojaner die empfangenen SMS-Nachrichten und fängt diejenigen von folgenden Nummern ab: 00033335 00036397 33335 36397 46621 55991 55999 56255 96512 99735 Auf SMS-Nachrichten von der Nummer 41001 antwortet er mit der folgenden SMS: YES Der Trojaner kann die folgenden Informationen erfassen: - Telefonnummer des Geräts - Name des Netzbetreibers - Absender und Inhalt der abgefangenen SMS-Nachrichten - Absender und Inhalt der SMS-Nachrichten im Eingangsordner - Version des Android-Betriebssystems Die erfassten Daten werden schließlich an die folgende Netzwerkadresse gesendet: http://www.amaz0n-cloud.com/droid/droid.php

A.Geimini.25

Name A.Geimini.25
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geimini.26

Name A.Geimini.26
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geimini.27

Name A.Geimini.27
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geimini.28

Name A.Geimini.28
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.01

Name A.Geinimi.01
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.02

Name A.Geinimi.02
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.03

Name A.Geinimi.03
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.04

Name A.Geinimi.04
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.05

Name A.Geinimi.05
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.06

Name A.Geinimi.06
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.07

Name A.Geinimi.07
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.08

Name A.Geinimi.08
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.09

Name A.Geinimi.09
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.10

Name A.Geinimi.10
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Apps mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.11

Name A.Geinimi.11
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.12

Name A.Geinimi.12
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.13

Name A.Geinimi.13
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.14

Name A.Geinimi.14
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.16

Name A.Geinimi.16
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.17

Name A.Geinimi.17
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.18

Name A.Geinimi.18
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - UnbeaufsichtigtesHerunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.19

Name A.Geinimi.19
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - UnbeaufsichtigtesHerunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.20

Name A.Geinimi.20
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Stillschweigendes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.21

Name A.Geinimi.21
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - UnbeaufsichtigtesHerunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.22

Name A.Geinimi.22
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - UnbeaufsichtigtesHerunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.23

Name A.Geinimi.23
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Apps und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - UnbeaufsichtigtesHerunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Apps, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten App geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.24

Name A.Geinimi.24
Kategorie
Veröffentlichungsdatum 11.01.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: – Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.29

Name A.Geinimi.29
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: – Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.30

Name A.Geinimi.30
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: – Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.31

Name A.Geinimi.31
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: - Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.32

Name A.Geinimi.32
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: – Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.Geinimi.33

Name A.Geinimi.33
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten: – Überwachen und Senden von SMS-Nachrichten - Löschen von ausgewählten SMS-Nachrichten - Überwachen und Senden von Standortdaten - Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI) - Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren - Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen - Tätigen von Anrufen - Unbeaufsichtigtes Herunterladen von Dateien - Starten des Browsers mit vordefinierter URL Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „Sideloading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut. Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden. Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint. Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse: www.widifu.com, www.udaore.com, www.frijd.com, www.piajesj.com, www.qoewsl.com, www.weolir.com, www.uisoa.com, www.riusdu.com, www.aiucr.com, 117.135.134.185 Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind: com.moonage.iTraining – Als A.Geinimi.01 erkannt com.sgg.sp – Als A.Geinimi.02 erkannt com.bitlogik.uconnect – Als A.Geinimi.03 erkannt com.ubermind.ilightr – Als A.Geinimi.04 erkannt com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt com.xlabtech.MonsterTruckRally – Als A.Geinimi.08 erkannt cmp.LocalService – Als A.Geinimi.09 erkannt jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt cmp.netsentry – Als A.Geinimi.12 erkannt com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt com.masshabit.squibble.free – Als A.Geinimi.15 erkannt signcomsexgirl1.mm – Als A.Geinimi.16 erkannt redrabbit.CityDefense – Als A.Geinimi.17 erkannt com.gamevil.bs2010 – Als A.Geinimi.18 erkannt com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt sex.sexy – Als A.Geinimi.21 erkannt com.swampy.sexpos – Als A.Geinimi.22 erkannt com.ericlie.cg5 – Als A.Geinimi23 erkannt chaire1.mm – Als A.Geinimi.24 erkannt Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Apps zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

A.GingerMaster.2

Name A.GingerMaster.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

GingerMaster ist die erste Android-Schadsoftware, die einen Root Exploit in Android 2.3 (Gingerbread) ausnutzt. Somit unterscheidet sie sich von früheren Android-Malware-Varianten, die mithilfe von Root-Rechten die Funktionen des Geräts bei Android-Versionen 2.2 und früher erweiterten und den Root Exploits zum Durchbruch verhalfen. GingerMaster folgt dem Trend der Neuverpackung des bösartigen Codes in legitimen Anwendungen. Sobald die mit dem Trojaner infizierte App installiert ist, trägt sie einen Empfänger ein, damit sie bei erfolgreichem Systemstart benachrichtigt werden kann. Gleichzeitig startet sie einen Dienst im Hintergrund, der Geräteinformationen sammelt, um diese auf einen Remote-Server hochzuladen. Zusätzlich zur Erfassung dieser Gerätedaten versuchen die mit GingerMaster infizierten Apps, unter Ausnutzung des Root Exploit „GingerBreak“ Root-Rechte zu erlangen, und eine Root Shell in einer System-Partition für spätere Verwendungen zu installieren. Sobald GingerMaster über Root-Rechte verfügt, versucht er eine Verbindung zu einem entfernten Command-and-Control (C&C)-Server herzustellen. Dort wartet er auf Anweisungen vom Botmaster. GingerMaster kann dann unbemerkt weitere Apps herunterladen und installieren, welche die Funktionen der Malware noch erweitern könnten. Dies erfolgt durch Ausführen des „pm install"-Befehls in der zuvor installierten Root Shell.

A.GingerMaster.a

Name A.GingerMaster.a
Kategorie
Veröffentlichungsdatum 31.08.2011
Update-Nummer 5

GingerMaster ist die erste Android-Schadsoftware, die einen Root Exploit in Android 2.3 (Gingerbread) ausnutzt. Somit unterscheidet sie sich von früheren Android-Malware-Varianten, die mithilfe von Root-Rechten die Funktionen des Geräts bei Android-Versionen 2.2 und früher erweiterten und den Root Exploits zum Durchbruch verhalfen. GingerMaster folgt dem Trend der Neuverpackung des bösartigen Codes in legitimen Anwendungen. Sobald die mit dem Trojaner infizierte App installiert ist, trägt sie einen Empfänger ein, damit sie bei erfolgreichem Systemstart benachrichtigt werden kann. Gleichzeitig startet sie einen Dienst im Hintergrund, der Geräteinformationen sammelt, um diese auf einen Remote-Server hochzuladen. Zusätzlich zur Erfassung dieser Gerätedaten versuchen die mit GingerMaster infizierten Apps, unter Ausnutzung des Root Exploit „GingerBreak“ Root-Rechte zu erlangen, und eine Root Shell in einer System-Partition für spätere Verwendungen zu installieren. Sobald GingerMaster über Root-Rechte verfügt, versucht er eine Verbindung zu einem entfernten Command-and-Control (C&C)-Server herzustellen. Dort wartet er auf Anweisungen vom Botmaster. GingerMaster kann dann unbemerkt weitere Apps herunterladen und installieren, welche die Funktionen der Malware noch erweitern könnten. Dies erfolgt durch Ausführen des „pm install"-Befehls in der zuvor installierten Root Shell.

A.GoldDream.3

Name A.GoldDream.3
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

„GoldDream“ ist eine Android-Schadsoftware, die in einer App namens „Fast Racing“ entdeckt wurde. „Fast Racing“ ist ein Rennspiel, das mit dem im Hintergrund versteckten bösartigen Code scheinbar problemlos funktioniert. „Fast Racing“ ist in dem Paket mit Namen „com.creativemobi.DragRacing“ erhältlich. Es fordert Berechtigungen an, die normalerweise nicht für den Betrieb eines Spiels dieser Art notwendig sind. Wachsame Benutzer könnten dies als potenziell bösartige Anwendung identifizieren, besonders wenn folgende Berechtigungen angefragt werden: - Ihre Nachrichten - Ihr Standort - Netzwerkkommunikation - Speicher - kostenpflichtige Dienste - Telefonanrufe Bisher haben wir 6 weitere Anwendungen identifiziert, die mit der GoldDream-Malware infiziert sind. Diese Anwendungen finden Sie mit folgenden Paketnamen: Pure Girls 16 – com.GoldDream.pg03 Pure Girls 16 – com.GoldDream.pg04 Pure Girls 16 – com.GoldDream.pg Forrest Defender – com.droid.game.forestman DevilDom Ninja – com.droidstu.game.devilninja Blood vs Zombie – com.gamelio.DrawSlasher Die mit der Schadsoftware GoldDream infizierten Android-Anwendungen können alle ein- und ausgehenden SMS-Nachrichten und Anrufe auf dem infizierten mobilen Gerät überwachen. Der Schädling hört die Kommunikation ab und erfasst die zugehörigen Telefonnummern der Nachrichten und Anrufe. Bei SMS-Nachrichten erfasst GoldDream auch den Inhalt der Nachricht und speichert alle erfassten Daten in zwei verschiedenen Textdateien auf dem mobilen Gerät, und zwar so lange, bis der Befehl zum Versand dieser Daten an den Überwachungsserver kommt. [redacted]phonecall.txt [redacted]sms.txt Nachdem eine Nachricht oder ein Anruf erhalten/gesendet wurde, werden diese Dateien im Ordner /data/data/app_name/files auf dem Gerät erstellt. Die mit GoldDream infizierten Anwendungen enthalten auch Command-and-Control (C&C)-Funktionen, damit ein Befehlsserver die Schadsoftware zur Durchführung einiger vorkonfigurierter Funktionen anleiten kann. Die Analyse der Schadsoftware ergab, dass der C&C-Server die infizierten Geräte anweisen kann, die folgenden Funktionen durchzuführen: - Senden von SMS-Nachrichten im Hintergrund - Tätigen von Anrufen im Hintergrund - Installieren/Deinstallieren von Anwendungen im Hintergrund - Hochladen einer Datei an einen entfernten Server

A.HippoSMS

Name A.HippoSMS
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

HippoSMS kommt in geknackten Versionen von legitimen Apps vor und zielt auf Anwender in Asien ab. Nach der Installation sendet HippoSMS SMS-Nachrichten an kostenpflichtige Premium-Nummern mit der Ziffer 8 im Nachrichtentext. Die Malware überwacht auch eingehende SMS-Nachrichten und löscht sämtliche eingehenden Nachrichten, die mit der Zahl 10 beginnen.

A.HippoSMS.a

Name A.HippoSMS.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

HippoSMS kommt in geknackten Versionen von legitimen Anwendungen vor und zielt auf Anwender in Asien ab. Nach der Installation sendet HippoSMS SMS-Nachrichten an kostenpflichtige Premium-Nummern mit der Ziffer 8 im Nachrichtentext. Die Malware überwacht auch eingehende SMS-Nachrichten und löscht sämtliche eingehenden Nachrichten, die mit der Zahl 10 beginnen.

A.Jifake.gen1

Name A.Jifake.gen1
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

Jifake ist in einem Pre-Download der Instant Messaging-Anwendung JIMM enthalten, die für russische Dienste modifiziert wurde. Der Pre-Download fordert die Endnutzer auf, eine SMS-Nachricht mit dem Inhalt „744155jimm“ an eine Kurzwahlnummer (2476) zu senden, um die Vollversion zu erhalten. Dem Opfer werden die Kosten für die SMS-Nachricht in Rechnung gestellt. Eine andere Variante von Jifake sendet die SMS-Nachricht an die Kurzwahlnummer 1899. Die SMS hat folgenden Inhalt: 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

A.Jifake.gen2

Name A.Jifake.gen2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

Jifake ist in einem Pre-Download der Instant Messaging-Anwendung JIMM enthalten, die für russische Dienste modifiziert wurde. Der Pre-Download fordert die Endnutzer auf, eine SMS-Nachricht mit dem Inhalt „744155jimm“ an eine Kurzwahlnummer (2476) zu senden, um die Vollversion zu erhalten. Dem Opfer werden die Kosten für die SMS-Nachricht in Rechnung gestellt. Eine andere Variante von Jifake sendet die SMS-Nachricht an die Kurzwahlnummer 1899. Die SMS hat folgenden Inhalt: 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

A.KMin

Name A.KMin
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

KMin ist eine bösartige Anwendung, die Android-Geräte angreift. Der Trojaner gibt sich als Android-App namens „KMHome“ aus und versucht, die Gerätekennung, Teilnehmer-ID und die aktuelle Uhrzeit des Geräts zu erfassen, um sie an einen Remote-Server zu senden.

A.Kidlogger.a

Name A.Kidlogger.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

KidLogger ist eine nicht kommerzielle Spyware für Android-Geräte. Sie ist noch heute im Android Market zu finden und wird wie folgt beschrieben: Zeichnet Telefon- und Benutzeraktivitäten in einer Protokolldatei auf: - Zeichnet alle Anrufe auf - SMS-Text mit Empfängername - WLAN-Verbindungen - GSM-Status (Flugmodus, Betreibername usw.) - SD-Kartennutzung bei USB-Anschluss - Erfasst alle verwendeten Anwendungen - Protokolliert die besuchten Websites (nur Standardbrowser). - Registriert Tastenanschläge auf der Bildschirmtastatur und Text im Zwischenspeicher. - Erfasst auch die Telefonkoordinaten und aufgenommenen Fotos. - Funktioniert unbemerkt im Hintergrund - Kennwortgeschützt - Speichert die Protokolldateien der Benutzeraktivität 5 Tage lang oder lädt sie in das Kidlogger.net-Benutzerkonto hoch. Das Journal der Telefonaktivität können Sie jederzeit online anzeigen. Starten Sie Ihr Telefon nach der Installation neu, und rufen Sie die Nummer *123456# an, um die KidLogger-App zu öffnen und zu aktivieren. Wenn Sie keinen Neustart vornehmen möchten, installieren Sie die Eingabemethode „Soft Keyboard PRO“. Nähere Informationen finden Sie in der App „Soft Keyboard PRO“. KidLogger wird als Spyware bezeichnet, da sich die App vor dem Benutzer verstecken kann. Gewiss bieten Anwendungen dieser Art Eltern einen nützlichen Dienst, wenn sie über die Online- und Mobiltelefon-Aktivitäten ihrer Kinder Bescheid wissen möchten. Andererseits verfügen nicht autorisierte Benutzer damit auch über die Möglichkeit der illegalen Überwachung einer ahnungslosen Person.

A.KungFu.a

Name A.KungFu.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Die Android-Malware DroidKungFu findet sich in neuen App-Paketen, die raubkopiert und mit einem Trojaner infiziert wurden. Sie enthalten nun Schadcode für bestimmte Funktionen und können von alternativen Marktplätzen für chinesischsprachige Anwender heruntergeladen werden. Droid KungFu nutzt die beiden Root Exploits „udev“ und „rageagainstthecage“ für den unbemerkten Root-Zugang auf einem infizierten Gerät. Nach der Installation registriert die infizierte Anwendung einen neuen Dienst und einen neuen Empfänger auf dem Gerät. Der Empfänger wird beim Neustart des Geräts benachrichtigt, und der Dienst kann automatisch im Hintergrund gestartet werden. Der gestartete Dienst entschlüsselt die verschlüsselten Root Exploit Payloads und startet die Exploits mit dem Gerät, um mehr Root-Rechte zu erlangen. Mit den erhaltenen Root-Rechten erfasst DroidKungFu Geräteinformationen und sendet sie an einen entfernten Server. Folgende Geräteinformationen werden erfasst: - IMEI-Nummer - Gerätemodell - Android-Version Sobald die Schadsoftware die erforderlichen Informationen für die Registrierung des Geräts auf dem Remote-Server erfasst und übertragen hat, kann DroidKungFu mit den Root-Rechten des Geräts im Hintergrund ein weiteres Paket auf dem Gerät ohne Einwilligung des Benutzers installieren. Die installierte App „Legacy“ gibt vor, eine legitime Google Search-Anwendung zu sein und weist auch dasselbe Symbol auf. Bei „Legacy“ handelt es sich in Wirklichkeit um eine „Hintertür“ oder Backdoor. Diese stellt die Verbindung zu einem Remote-Server her, um Befehle oder Anweisungen zum weiteren Vorgehen zu erhalten. Im Grunde wird das infizierte Gerät in ein Bot verwandelt.

A.KungFu2.2

Name A.KungFu2.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

DroidKungFu2 ist eine Variante der ursprünglichen Malware DroidKungFu, die in raubkopierten, mit Trojanern infizierten Android-Anwendungen enthalten ist. DroidKungFu2 ist mit einigen derselben Funktionen wie ihr Vorgänger ausgestattet und versucht, Teile des in Dalvik (auf Java basierend) geschriebenen Codes zu verschleiern. Stattdessen wird nativer Code verwendet. Außerdem verwendet diese Malware zwei weitere Command-and-Control (C&C)-Domänen, während der Vorgänger nur eine C&C-Domäne nutzt. Diese Änderungen führen dazu, dass vorhandene Erkennungsmethoden nicht ausreichen und Analysevorgänge verlangsamen. Für Forscherteams wird die Analyse und Identifizierung der Kommunikationswege und anderer Funktionen des Schädlings also schwieriger.

A.KungFu2.a

Name A.KungFu2.a
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

DroidKungFu2 ist eine Variante der ursprünglichen Malware DroidKungFu, die in raubkopierten, mit Trojanern infizierten Android-Anwendungen enthalten ist. DroidKungFu2 ist mit einigen derselben Funktionen wie ihr Vorgänger ausgestattet und versucht, Teile des in Dalvik (auf Java basierend) geschriebenen Codes zu verschleiern. Stattdessen wird nativer Code verwendet. Außerdem verwendet diese Malware zwei weitere Command-and-Control (C&C)-Domänen, während der Vorgänger nur eine C&C-Domäne nutzt. Diese Änderungen führen dazu, dass vorhandene Erkennungsmethoden nicht ausreichen und Analysevorgänge verlangsamen. Für Forscherteams wird die Analyse und Identifizierung der Kommunikationswege und anderer Funktionen des Schädlings also schwieriger.

A.KungFu3.a

Name A.KungFu3.a
Kategorie
Veröffentlichungsdatum 31.08.2011
Update-Nummer 5

DroidKungFu3 ist die dritte Variante in der Reihe der DroidKungFu-Malwares, die Android-Geräte angreifen. Wie die Vorgänger kommt DroidKungFu3 in raubkopierten, mit Trojanern infizierten Anwendungen für Android-Geräte vor. DroidKungFu3 geht beim Verschleiern seiner wahren Absichten sogar noch einen Schritt weiter. Während bei DroidKungFu2 zwei zusätzliche Command-and-Control (C&C)-Server genutzt und fest in nativen Code programmiert wurden, verschlüsselt DroidKungFu3 alle drei C&C-Serveradressen, um die Arbeit des Reverse Engineering noch zu erschweren. Der Hauptzweck von DroidKungFu3 ändert sich durch diese raffinierten Variationen jedoch nicht. Wie die beiden Vorgänger erlangt DroidKungFu3 über einen von zwei Root Exploits die Root-Rechte auf einem infizierten Gerät. Wenn der Trojaner über Root-Rechte verfügt, versucht er, ein eingebettetes APK (Android-Paket) zu installieren, das als gefälschtes Google-Update maskiert ist. Wurde die eingebettete Anwendung erfolgreich installiert, wird dem Benutzer kein Anwendungssymbol angezeigt. In Wirklichkeit öffnet die installierte Anwendung eine Backdoor zum Gerät, die eine Verbindung zu Remote-Servern herstellt und auf Anweisungen wartet. So wird aus dem Gerät ein effektiver Bot.

A.Lovetrap.1

Name A.Lovetrap.1
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

LoveTrap ist ein Android-Trojaner, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet. Nach der Installation ruft LoveTrap 0900er- und 0190er-Nummern von einem entfernten Server ab, um SMS-Nachrichten zu senden, die dem Konto des Benutzers des mobilen Geräts belastet werden. Der Trojaner geht noch einen Schritt weiter: Er blockiert alle eingehenden Bestätigungsmeldungen der kostenpflichtigen Servicenummern und verschleiert so seine Aktivitäten.

A.Lovetrap.2

Name A.Lovetrap.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

LoveTrap ist ein Android-Trojaner, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet. Nach der Installation ruft LoveTrap 0900er- und 0190er-Nummern von einem entfernten Server ab, um SMS-Nachrichten zu senden, die dem Konto des Benutzers des mobilen Geräts belastet werden. Der Trojaner geht noch einen Schritt weiter: Er blockiert alle eingehenden Bestätigungsmeldungen der kostenpflichtigen Servicenummern und verschleiert so seine Aktivitäten.

A.Lovetrap.3

Name A.Lovetrap.3
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

LoveTrap ist ein Android-Trojaner, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet. Nach der Installation ruft LoveTrap 0900er- und 0190er-Nummern von einem entfernten Server ab, um SMS-Nachrichten zu senden, die dem Konto des Benutzers des mobilen Geräts belastet werden. Der Trojaner geht noch einen Schritt weiter: Er blockiert alle eingehenden Bestätigungsmeldungen der kostenpflichtigen Servicenummern und verschleiert so seine Aktivitäten.

A.MNauten.gen

Name A.MNauten.gen
Kategorie
Veröffentlichungsdatum 05.10.2010
Update-Nummer 1

Mobinauten SMS Spy ist im Android Market verfügbar. Laut Beschreibung hilft die Anwendung dem Benutzer, ein verlorenes oder gestohlenes Gerät wiederzufinden. SMS Spy wird als Spyware bezeichnet, da es dem Benutzer verborgen bleibt. Im App-Drawer auf dem Gerät wird auch kein Anwendungssymbol angezeigt. SMS Spy ist in einem Paket namens „de.mobinauten.smsspy“ mit dem Anwendungsnamen „SMS Spy“ enthalten. Ein Angreifer sendet per SMS Spy einfach eine SMS-Nachricht mit der vorkonfigurierten Frage „How are you???“ an das Gerät, und das gefundene Gerät antwortet dem Absender mit 3 SMS-Nachrichten. Die erste bestätigt den Empfang der Ortungsanfrage. Die zweite sendet als Antwort die GPS-Koordinaten und die Adresse des Geräts. Die dritte enthält eine URL als Link zu Google Maps mit dem Standort des Geräts. Der Benutzer hat in SMS Spy die Möglichkeit, die eingehende SMS-Nachricht „locate“ zu verbergen. In diesem Fall muss ein neuer Kontakt auf dem Zielgerät unter dem Nachnamen „systemnumber“ erstellt werden. Die Felder für die übrigen Angaben bleiben leer. Beim Erstellen des Kontakts „systemnumber“ auf dem Zielgerät löscht SMS Spy die korrekte Ortungsnachricht und ändert die Nachricht zur Systembenachrichtigung in „Internal Service – SMS Database optimized and compressed“. SMS Spy könnte bei angemessenem Einsatz sicher als nützliche Anwendung angesehen werden. Da sie dem Benutzer jedoch verborgen bleibt und einem Angreifer die Möglichkeit bietet, die eingehende Ortungsnachricht zu verschleiern, wird sie als Android-Spyware bezeichnet. Der Benutzer soll selbst eine fundierte Entscheidung darüber treffen, ob er die Anwendung auf seinem Gerät belassen möchte.

A.NickiSpy.a

Name A.NickiSpy.a
Kategorie
Veröffentlichungsdatum 31.08.2011
Update-Nummer 5

NickySpy ist ein schädliches Programm, das Android-Geräte angreift. NickySpy ist in einer App namens „Android System Manager“ enthalten, doch sie erfasst lediglich Daten über das Gerät und sendet diese an einen Remote-Server. NickySpy kann die folgenden Daten erfassen: Sprachanrufe, SMS-Nachrichten, GPS-Standortinformationen, IMEI (International Mobile Equipment Identity), IP-Adresse. Die Malware speichert Sprachanrufdaten auf der SD-Karte im Ordner „/sdcard/shangzhou/callrecord“ und erstellt ein Timer-Ereignis, um die Datenerfassung zu initiieren und diese Informationen an den entfernten Server zu senden.

A.NickiSpy.b

Name A.NickiSpy.b
Kategorie
Veröffentlichungsdatum 31.08.2011
Update-Nummer 5

NickySpy ist ein schädliches Programm, das Android-Geräte angreift. NickySpy ist in einer App namens „Android System Manager“ enthalten, doch sie erfasst lediglich Daten über das Gerät und sendet diese an einen Remote-Server. NickySpy kann die folgenden Daten erfassen: Sprachanrufe, SMS-Nachrichten, GPS-Standortinformationen, IMEI (International Mobile Equipment Identity), IP-Adresse. Die Malware speichert Sprachanrufdaten auf der SD-Karte im Ordner „/sdcard/shangzhou/callrecord“ und erstellt ein Timer-Ereignis, um die Datenerfassung zu initiieren und diese Informationen an den entfernten Server zu senden.

A.PJApp.1

Name A.PJApp.1
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Anwendungen aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.2

Name A.PJApp.2
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Anwendungen aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.3

Name A.PJApp.3
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.4

Name A.PJApp.4
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.5

Name A.PJApp.5
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.6

Name A.PJApp.6
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.7

Name A.PJApp.7
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.8

Name A.PJApp.8
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PJApp.9

Name A.PJApp.9
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden. Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an: - Netzwerk-Sockets öffnen - Eingehende SMS-Nachrichten senden und überwachen - Browserverlauf und Bookmarks des Benutzers lesen und verändern - Pakete installieren - In einen externen Speicher schreiben - Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert. Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren: http://mobile.meego91.com/mm.do?..[PARAMETERS] Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält: - IMEI - Geräte-ID - Telefonnummer - Teilnehmer-ID - SIM-Seriennummer Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen: http://log.meego91.com:9033/android.log?[PARAMETERS] Der Threat lädt die Befehle von folgender Adresse herunter: http://xml.meego91.com:8118/push/newandroidxml/… Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle: Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen: blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird: ($blacklist_url) + “/?tel=” + Mobilnummer. Response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im Note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende. push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter: – Inhalt der Textnachricht – Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird – Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt. soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird. window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind: com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen: xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

A.PirateText.a

Name A.PirateText.a
Kategorie
Veröffentlichungsdatum 29.03.2011
Update-Nummer 1

PirateText ist eine manipulierte Version der äußerst beliebten Android-App namens „Walk and Text“. Die offiziellen Entwickler von „Walk and Text“ veröffentlichten eine neue Version ihrer Anwendung im Android Market. Schon innerhalb weniger Stunden wurde sie raubkopiert und enthielt bösartigen Code im Paket. Dann wurde sie als legitime Version in App Stores von Drittanbietern neu verteilt. Bei der vom Android Market raubkopierten Version handelte es sich um Version 1.3.6. Die aktuelle Market-Version ist 1.5.3. Die manipulierte Version mit dem Schadcode ist Version 1.3.7. Soweit wir das beurteilen können, ist Version 1.3.7 kein offizielles Update der von Incorporate Apps vertriebenen legitimen Anwendung. Es sieht so aus, als sei die vorhandene Version 1.3.7 in Wirklichkeit Version 1.3.6 mit eingepflanztem Schadcode. Diese wurde anschließend mit einem anderen selbst signierten Zertifikat als das von Incorporate Apps verwendete unterzeichnet. Dies ist ein klares Anzeichen dafür, dass diese App von anderen Personen neu gepackt wurde, da sie keinen Zugang zum legitimen Zertifikat des ursprünglichen Entwicklers hatten. Die bösartige Anwendung „Walk and Text v1.3.7“ funktioniert für den Benutzer offenbar normal. Im Hintergrund sendet sie jedoch an alle im Gerät gespeicherten Kontakte eine SMS-Nachricht mit folgendem Inhalt: „Hey, just downloaded a pirated App off the Internet, Walk and Text for Android. I'm stupid and cheap, it costed only 1 buck. Don\’t steal like I did!“ „Walk and Text v1.3.7“ macht also nichts anderes, als eine ärgerliche SMS-Nachricht an die Kontakte des Geräts zu senden. Aus der Art der versandten SMS-Nachricht lässt sich schließen, dass jemand Wert auf die Feststellung legt, dass das Herunterladen von raubkopierten Anwendungen unethisch ist. Allerdings ist die angewandte Methode gleichermaßen unethisch.

A.Plankton.1

Name A.Plankton.1
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Plankton ist eine Malware, die auf Android abzielt und als raubkopierte trojanisierte Anwendung erhältlich ist. Plankton wurde erstmals von Forschern der North Carolina State University entdeckt. Sie fanden heraus, dass die mit Plankton infizierten Apps eine Dalvik-Ladefunktion ausnutzen, die versteckt auf einem Android-Gerät läuft. Sobald eine infizierte App auf das mobile Gerät geladen wird, fügt die Schadsoftware einen Hintergrunddienst hinzu, der sich selbst bei Ausführung der Anwendung initiiert. Dieser Hintergrunddienst ist in der Lage, Erkennungsangaben wie IMEI von infizierten Android-Geräten zu erfassen. Er erfasst auch alle von der Hostanwendung angeforderten Berechtigungen und sendet sie an einen Remote-Server. Nach Empfang dieser Informationen sendet der Server eine URL, auf die der Schadcode auf dem Gerät zugreifen soll, um eine .jar-Datei abzurufen. Diese lädt sich automatisch selbst und ermöglicht Botnetz-Funktionen auf dem infizierten Android-Gerät. Die heruntergeladene .jar-Datei ruft dann Informationen wie Browserverlauf und Bookmarks ab, macht einen Auszug des Geräte-adb-Protokolls und kann die auf dem Gerät gespeicherten Kontoanmeldedaten erfassen.

A.Plankton.2

Name A.Plankton.2
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Plankton ist eine Malware, die auf Android abzielt und als raubkopierte trojanisierte Anwendung erhältlich ist. Plankton wurde erstmals von Forschern der North Carolina State University entdeckt. Sie fanden heraus, dass die mit Plankton infizierten Apps eine Dalvik-Ladefunktion ausnutzen, die versteckt auf einem Android-Gerät läuft. Sobald eine infizierte App auf das mobile Gerät geladen wird, fügt die Schadsoftware einen Hintergrunddienst hinzu, der sich selbst bei Ausführung der Anwendung initiiert. Dieser Hintergrunddienst ist in der Lage, Erkennungsangaben wie IMEI von infizierten Android-Geräten zu erfassen. Er erfasst auch alle von der Hostanwendung angeforderten Berechtigungen und sendet sie an einen Remote-Server. Nach Empfang dieser Informationen sendet der Server eine URL, auf die der Schadcode auf dem Gerät zugreifen soll, um eine .jar-Datei abzurufen. Diese lädt sich automatisch selbst und ermöglicht Botnetz-Funktionen auf dem infizierten Android-Gerät. Die heruntergeladene .jar-Datei ruft dann Informationen wie Browserverlauf und Bookmarks ab, macht einen Auszug des Geräte-adb-Protokolls und kann die auf dem Gerät gespeicherten Kontoanmeldedaten erfassen.

A.Plankton.3

Name A.Plankton.3
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Plankton ist eine Malware, die auf Android abzielt und als raubkopierte trojanisierte Anwendung erhältlich ist. Plankton wurde erstmals von Forschern der North Carolina State University entdeckt. Sie fanden heraus, dass die mit Plankton infizierten Apps eine Dalvik-Ladefunktion ausnutzen, die versteckt auf einem Android-Gerät läuft. Sobald eine infizierte App auf das mobile Gerät geladen wird, fügt die Schadsoftware einen Hintergrunddienst hinzu, der sich selbst bei Ausführung der Anwendung initiiert. Dieser Hintergrunddienst ist in der Lage, Erkennungsangaben wie IMEI von infizierten Android-Geräten zu erfassen. Er erfasst auch alle von der Hostanwendung angeforderten Berechtigungen und sendet sie an einen Remote-Server. Nach Empfang dieser Informationen sendet der Server eine URL, auf die der Schadcode auf dem Gerät zugreifen soll, um eine .jar-Datei abzurufen. Diese lädt sich automatisch selbst und ermöglicht Botnetz-Funktionen auf dem infizierten Android-Gerät. Die heruntergeladene .jar-Datei ruft dann Informationen wie Browserverlauf und Bookmarks ab, macht einen Auszug des Geräte-adb-Protokolls und kann die auf dem Gerät gespeicherten Kontoanmeldedaten erfassen.

A.Plankton.4

Name A.Plankton.4
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Plankton ist eine Malware, die auf Android abzielt und als raubkopierte trojanisierte Anwendung erhältlich ist. Plankton wurde erstmals von Forschern der North Carolina State University entdeckt. Sie fanden heraus, dass die mit Plankton infizierten Apps eine Dalvik-Ladefunktion ausnutzen, die versteckt auf einem Android-Gerät läuft. Sobald eine infizierte App auf das mobile Gerät geladen wird, fügt die Schadsoftware einen Hintergrunddienst hinzu, der sich selbst bei Ausführung der Anwendung initiiert. Dieser Hintergrunddienst ist in der Lage, Erkennungsangaben wie IMEI von infizierten Android-Geräten zu erfassen. Er erfasst auch alle von der Hostanwendung angeforderten Berechtigungen und sendet sie an einen Remote-Server. Nach Empfang dieser Informationen sendet der Server eine URL, auf die der Schadcode auf dem Gerät zugreifen soll, um eine .jar-Datei abzurufen. Diese lädt sich automatisch selbst und ermöglicht Botnetz-Funktionen auf dem infizierten Android-Gerät. Die heruntergeladene .jar-Datei ruft dann Informationen wie Browserverlauf und Bookmarks ab, macht einen Auszug des Geräte-adb-Protokolls und kann die auf dem Gerät gespeicherten Kontoanmeldedaten erfassen.

A.SPPush.2

Name A.SPPush.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

A.SPPush ist eine bösartige Anwendung, die Android-Benutzer in China im Visier hat und über Web Stores von Drittanbietern verteilt wird. Sie macht sich das in China weithin implementierte SMS-basierte Teilnehmersystem zunutze, über das sich Benutzer für gewisse Services anmelden. Dies geschieht ohne Wissen oder Einwilligung des Benutzers.

A.SPPush.3

Name A.SPPush.3
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

A.SPPush ist eine bösartige Anwendung, die Android-Nutzer in China im Visier hat und über Web Stores von Drittanbietern verteilt wird. Sie macht sich das in China weithin implementierte SMS-basierte Teilnehmersystem zunutze, über das sich Benutzer für gewisse Services anmelden. Dies geschieht ohne Wissen oder Einwilligung des Benutzers.

A.SPPush.a

Name A.SPPush.a
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

A.SPPush.a ist eine bösartige Anwendung, die Android-Benutzer in China im Visier hat und über Web Stores von Drittanbietern verteilt wird. Sie macht sich das in China weithin implementierte SMS-basierte Teilnehmersystem zunutze, über das sich Benutzer für gewisse Services anmelden. Dies geschieht ohne Wissen oder Einwilligung des Benutzers.

A.SPPush.b

Name A.SPPush.b
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

A.SPPush.b ist eine bösartige Anwendung, die Android-Nutzer in China im Visier hat und über Web Stores von Drittanbietern verteilt wird. Sie macht sich das in China weithin implementierte SMS-basierte Teilnehmersystem zunutze, über das sich Benutzer für gewisse Services anmelden. Dies geschieht ohne Wissen oder Einwilligung des Benutzers.

A.Skypwned.a

Name A.Skypwned.a
Kategorie
Veröffentlichungsdatum 19.04.2011
Update-Nummer 1

Skypwned ist eine Proof-of-Concept (PoC)-Anwendung, die extra entwickelt wurde, um die mögliche Ausnutzung einer Sicherheitslücke in Skype für Android zu verdeutlichen. Skypwned PoC ist keine offenkundig bösartige Anwendung, doch sollte sie vom Gerät entfernt werden, falls sie entdeckt wird.

A.SndApps.a

Name A.SndApps.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Bei SndApps handelt es sich um eine Android-Malware in Apps, die dem Anschein nach Spiele für Android-Geräte sind. SndApps greift auf verschiedene Arten von Geräteerkennungsdaten zu und leitet sie an einen entfernten Server weiter. Es werden folgende Informationen ermittelt und übertragen: - Netzanbieter - Ländercode - Geräte-ID/IMEI-Nummer - E-Mail-Adressen im Zusammenhang mit dem Gerät - Telefonnummer Die mit SndApps infizierten Apps scheinen nicht von seriösen Entwicklern neu gepackt worden zu sein. Es sieht so aus, als hätten die gleichen Entwickler, die die Originalanwendungen erstellt haben, zu einem späteren Zeitpunkt bösartigen Code in nachfolgende Versionen der Apps eingefügt. Diese Apps wurden zuerst im offiziellen Android Market entdeckt, sind aber jetzt nicht mehr zugänglich.

A.Spitmo.c

Name A.Spitmo.c
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

SPITMO/SpyEye ist eine Android-Schadsoftware, die sich gegen Benutzer richtet, deren PC mit der PC-Malware SpyEye infiziert ist. Wenn der Benutzer eines infizierten PC zur Online-Banking-Website navigiert, kann SpyEye zusätzliche Inhalte auf die Bankseiten einschleusen. Der Benutzer soll glauben, die Bank frage nach seiner Handynummer, um die Zwei-Faktor-Authentifizierung mithilfe von mTANs zu erleichtern. Die Bank sendet eine nur einmalig verwendbare Transaktionsnummer, die mTAN, an das mobile Gerät des Benutzers, die er zur Authentifizierung für Transaktionen im Online-Banking auf der Bankseite eingibt. Nachdem SpyEye die Mobiltelefonnummer des Benutzers abgerufen hat, wird er über eingeschleusten Inhalt aufgefordert, ein notwendiges „Zertifikat“ herunterzuladen. Angeblich können nur damit mTAN-Authentifizierungen entsprechend auf dem Gerät verifiziert werden. In Wirklichkeit gibt der Benutzer aber SpyEye seine Handynummer bekannt und wird nun auf betrügerische Weise zur Installation der mobilen Spyware-App „SpyEye“ verleitet. Diese überwacht und erfasst die vom Geldinstitut verschickten mTANs. SpyEye ist so konfiguriert, dass es diese mTAN-Nummern, die per SMS auf dem Gerät ankommen, erkennt. Sie werden dann an den von Angreifern kontrollierten Server eines Drittanbieters gesendet. So erhalten diese Zugriff auf die Online-Banking-Website des Opfers.

A.SpyBubble.b

Name A.SpyBubble.b
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

SpyBubble ist die Software zur heimlichen GPS-Ortung für Android-Mobilfunkgeräte. SpyBubble bietet ähnlich wie andere Android-Überwachungsanwendungen auf dem Markt eine „heimliche“ GPS-Ortung und verschiedene Überwachungs-/Spionagefunktionen (z. B. Mobile Spy).

SpyBubble kann folgende Aktivitäten nachverfolgen:

GPS-Ortung
SMS-Nachrichten, die an das Android-Gerät gesendet oder von dort empfangen wurden.
Anzeige von Rufprotokollen

A.Spybub.a

Name A.Spybub.a
Kategorie
Veröffentlichungsdatum 03.03.2010
Update-Nummer 1

SpyBubble ist die Software zur heimlichen GPS-Ortung für Android-Mobilfunkgeräte. SpyBubble bietet ähnlich wie andere Android-Überwachungsanwendungen auf dem Markt eine „heimliche“ GPS-Ortung und verschiedene Überwachungs-/Spionagefunktionen (z. B. Mobile Spy).

SpyBubble kann folgende Aktivitäten nachverfolgen:

GPS-Ortung
SMS-Nachrichten, die an das Android-Gerät gesendet oder von dort empfangen wurden.
Anzeige von Rufprotokollen

A.Thefty.gen2

Name A.Thefty.gen2
Kategorie
Veröffentlichungsdatum 01.12.2010
Update-Nummer 1

Theft Aware ist eine Diebstahlschutz-Anwendung, die auch Möglichkeiten zur illegalen Überwachung des GPS-Standorts einer ahnungslosen Person bietet.

Bei Theft Aware handelt es sich um eine kommerzielle Anwendung für die Betriebssysteme Symbian und Android. Damit können Benutzer ein verlorenes oder gestohlenes mobiles Gerät wiederfinden.

Theft Aware bietet folgende Funktionen:

Überwachung des GPS-Standorts
Stealth-Modus
Sperren/Löschen aus der Ferne
Sirene
Datenlöschung
Abrufen von SMS-Nachrichten
Rufstummschaltung zur Überwachung von Hintergrundgeräuschen
SMS-Befehle

Obgleich Theft Aware den Benutzern brauchbare Dienste leistet, wird diese Anwendung als Spyware bezeichnet, denn sie kann sich aktiv selbst auf dem Gerät verstecken, um nicht von einem ahnungslosen Benutzer entdeckt zu werden. Ferner lässt sie sich als potenzielles Überwachungstool einsetzen und Standortbewegungen sowie die Kommunikation eines Benutzers auf illegale Weise ausspionieren.

A.Typstu

Name A.Typstu
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

Android/TypStu.D sendet vertrauliche Daten an die Website eines Drittanbieters. Der Benutzer muss diese Malware wissentlich auf dem Gerät installieren.

A.YzhcSms.1

Name A.YzhcSms.1
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

YZHCSMS ist ein Android-Trojaner, der im Paket „com.ppxiu“ des Entwicklers „Gengine“ enthalten ist. Die Anwendung scheint nicht mehr im Android Market verfügbar zu sein, wird aber noch über Web Stores von Drittanbietern in Asien angeboten. Die Malware namens „YZHCSMS“ zielt wohl nur auf asiatische Märkte ab. Zunächst versucht sie, eine Offline-Website zu erreichen, um eine Liste mit Premium-Nummern (eine Kurzwahlnummer, an die Sie SMS-Nachrichten senden, wie beispielsweise zur Stimmabgabe für „Deutschland sucht den Superstar“) abzurufen. Dann versendet sie SMS-Nachrichten, die alle mit der Zeichenfolge „YZHC“ beginnen. Die vom Webserver abgerufenen Premium-Nummern werden mit einer Liste fest programmierter Nummern kombiniert. Dann sendet „YZHCSMS“ alle 50 Minuten eine SMS oder Textnachricht an den Zielserver, die den Benutzer bei jeder Nachricht je nach Tarif teuer zu stehen kommt. Der SMS-Trojaner läuft als Hintergrunddienst und wird entweder bei Einschalten des Geräts oder bei Ausführung der infizierten Anwendung angestoßen. YZHCSMS funktioniert nicht nur als Hintergrunddienst; der Trojaner verschleiert auch seine wahre Natur, indem er alle gesendeten SMS-Nachrichten und ebenso ankommende Rechnungen oder Bestätigungsmeldungen auf die soeben versandte SMS löscht. Einige Varianten dieses SMS-Trojaners löschen nur Nachrichten im Zusammenhang mit den im Schadcode fest programmierten Nummern. Andere dagegen versuchen, Nachrichten mit Bezug auf die vom Offline-Server abgerufenen Nummern zu löschen. Unsere Analysen bei mindestens einer Variante ergaben, dass die folgenden Nummern in verschiedenen Varianten von „YZHCSMS“ fest programmiert sind: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 Die folgenden Nummern sind in der „mmssender“-Klasse vorhanden: 052714034192100013309 10086 1240000089393100527140341001 Mindestens eine Variante fängt Nachrichten mit Bezug auf die folgenden fest programmierten Nummern über die „SMSObserver“-Klasse ab: 10086 1065800885566 Zum jetzigen Zeitpunkt ist unklar, ob diese Premium-Nummern auch außerhalb der asiatischen Märkte funktionieren. Laut Angaben des Android Market wurden diese Anwendungen schätzungsweise nur 500 Mal heruntergeladen.

A.YzhcSms.2

Name A.YzhcSms.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

YZHCSMS ist ein Android-Trojaner, der im Paket „com.ppxiu“ des Entwicklers „Gengine“ enthalten ist. Die Anwendung scheint nicht mehr im Android Market verfügbar zu sein, wird aber noch über Web Stores von Drittanbietern in Asien angeboten. Die Malware namens „YZHCSMS“ zielt wohl nur auf asiatische Märkte ab. Zunächst versucht sie, eine Offline-Website zu erreichen, um eine Liste mit Premium-Nummern (eine Kurzwahlnummer, an die Sie SMS-Nachrichten senden, wie beispielsweise zur Stimmabgabe für „Deutschland sucht den Superstar“) abzurufen. Dann versendet sie SMS-Nachrichten, die alle mit der Zeichenfolge „YZHC“ beginnen. Die vom Webserver abgerufenen Premium-Nummern werden mit einer Liste fest programmierter Nummern kombiniert. Dann sendet „YZHCSMS“ alle 50 Minuten eine SMS oder Textnachricht an den Zielserver, die den Benutzer bei jeder Nachricht je nach Tarif teuer zu stehen kommt. Der SMS-Trojaner läuft als Hintergrunddienst und wird entweder bei Einschalten des Geräts oder bei Ausführung der infizierten Anwendung angestoßen. YZHCSMS funktioniert nicht nur als Hintergrunddienst; der Trojaner verschleiert auch seine wahre Natur, indem er alle gesendeten SMS-Nachrichten und ebenso ankommende Rechnungen oder Bestätigungsmeldungen auf die soeben versandte SMS löscht. Einige Varianten dieses SMS-Trojaners löschen nur Nachrichten im Zusammenhang mit den im Schadcode fest programmierten Nummern. Andere dagegen versuchen, Nachrichten mit Bezug auf die vom Offline-Server abgerufenen Nummern zu löschen. Unsere Analysen bei mindestens einer Variante ergaben, dass die folgenden Nummern in verschiedenen Varianten von „YZHCSMS“ fest programmiert sind: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 Die folgenden Nummern sind in der „mmssender“-Klasse vorhanden: 052714034192100013309 10086 1240000089393100527140341001 Mindestens eine Variante fängt Nachrichten mit Bezug auf die folgenden fest programmierten Nummern über die „SMSObserver“-Klasse ab: 10086 1065800885566 Zum jetzigen Zeitpunkt ist unklar, ob diese Premium-Nummern auch außerhalb der asiatischen Märkte funktionieren. Laut Angaben des Android Market wurden diese Anwendungen schätzungsweise nur 500 Mal heruntergeladen.

A.Yzhcsms.2

Name A.Yzhcsms.2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

YZHCSMS ist ein Android-Trojaner, der im Paket „com.ppxiu“ des Entwicklers „Gengine“ enthalten ist. Die Anwendung scheint nicht mehr im Android Market verfügbar zu sein, wird aber noch über Web Stores von Drittanbietern in Asien angeboten. Die Malware namens „YZHCSMS“ zielt wohl nur auf asiatische Märkte ab. Zunächst versucht sie, eine Offline-Website zu erreichen, um eine Liste mit Premium-Nummern (eine Kurzwahlnummer, an die Sie SMS-Nachrichten senden, wie beispielsweise zur Stimmabgabe für „Deutschland sucht den Superstar“) abzurufen. Dann versendet sie SMS-Nachrichten, die alle mit der Zeichenfolge „YZHC“ beginnen. Die vom Webserver abgerufenen Premium-Nummern werden mit einer Liste fest programmierter Nummern kombiniert. Dann sendet „YZHCSMS“ alle 50 Minuten eine SMS oder Textnachricht an den Zielserver, die den Benutzer bei jeder Nachricht je nach Tarif teuer zu stehen kommt. Der SMS-Trojaner läuft als Hintergrunddienst und wird entweder bei Einschalten des Geräts oder bei Ausführung der infizierten Anwendung angestoßen. YZHCSMS funktioniert nicht nur als Hintergrunddienst; der Trojaner verschleiert auch seine wahre Natur, indem er alle gesendeten SMS-Nachrichten und ebenso ankommende Rechnungen oder Bestätigungsmeldungen auf die soeben versandte SMS löscht. Einige Varianten dieses SMS-Trojaners löschen nur Nachrichten im Zusammenhang mit den im Schadcode fest programmierten Nummern. Andere dagegen versuchen, Nachrichten mit Bezug auf die vom Offline-Server abgerufenen Nummern zu löschen. Unsere Analysen bei mindestens einer Variante ergaben, dass die folgenden Nummern in verschiedenen Varianten von „YZHCSMS“ fest programmiert sind: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 Die folgenden Nummern sind in der „mmssender“-Klasse vorhanden: 052714034192100013309 10086 1240000089393100527140341001 Mindestens eine Variante fängt Nachrichten mit Bezug auf die folgenden fest programmierten Nummern über die „SMSObserver“-Klasse ab: 10086 1065800885566 Zum jetzigen Zeitpunkt ist unklar, ob diese Premium-Nummern auch außerhalb der asiatischen Märkte funktionieren. Laut Angaben des Android Market wurden diese Anwendungen schätzungsweise nur 500 Mal heruntergeladen.

A.Yzhcsms.3

Name A.Yzhcsms.3
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

YZHCSMS ist ein Android-Trojaner, der im Paket „com.ppxiu“ des Entwicklers „Gengine“ enthalten ist. Die Anwendung scheint nicht mehr im Android Market verfügbar zu sein, wird aber noch über Web Stores von Drittanbietern in Asien angeboten. Die Malware namens „YZHCSMS“ zielt wohl nur auf asiatische Märkte ab. Zunächst versucht sie, eine Offline-Website zu erreichen, um eine Liste mit Premium-Nummern (eine Kurzwahlnummer, an die Sie SMS-Nachrichten senden, wie beispielsweise zur Stimmabgabe für „Deutschland sucht den Superstar“) abzurufen. Dann versendet sie SMS-Nachrichten, die alle mit der Zeichenfolge „YZHC“ beginnen. Die vom Webserver abgerufenen Premium-Nummern werden mit einer Liste fest programmierter Nummern kombiniert. Dann sendet „YZHCSMS“ alle 50 Minuten eine SMS oder Textnachricht an den Zielserver, die den Benutzer bei jeder Nachricht je nach Tarif teuer zu stehen kommt. Der SMS-Trojaner läuft als Hintergrunddienst und wird entweder bei Einschalten des Geräts oder bei Ausführung der infizierten Anwendung angestoßen. YZHCSMS funktioniert nicht nur als Hintergrunddienst; der Trojaner verschleiert auch seine wahre Natur, indem er alle gesendeten SMS-Nachrichten und ebenso ankommende Rechnungen oder Bestätigungsmeldungen auf die soeben versandte SMS löscht. Einige Varianten dieses SMS-Trojaners löschen nur Nachrichten im Zusammenhang mit den im Schadcode fest programmierten Nummern. Andere dagegen versuchen, Nachrichten mit Bezug auf die vom Offline-Server abgerufenen Nummern zu löschen. Unsere Analysen bei mindestens einer Variante ergaben, dass die folgenden Nummern in verschiedenen Varianten von „YZHCSMS“ fest programmiert sind: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 Die folgenden Nummern sind in der „mmssender“-Klasse vorhanden: 052714034192100013309 10086 1240000089393100527140341001 Mindestens eine Variante fängt Nachrichten mit Bezug auf die folgenden fest programmierten Nummern über die „SMSObserver“-Klasse ab: 10086 1065800885566 Zum jetzigen Zeitpunkt ist unklar, ob diese Premium-Nummern auch außerhalb der asiatischen Märkte funktionieren. Laut Angaben des Android Market wurden diese Anwendungen schätzungsweise nur 500 Mal heruntergeladen.

A.Yzhcsms.a

Name A.Yzhcsms.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

YZHCSMS ist ein Android-Trojaner, der im Paket „com.ppxiu“ des Entwicklers „Gengine“ enthalten ist. Die Anwendung scheint nicht mehr im Android Market verfügbar zu sein, wird aber noch über Web Stores von Drittanbietern in Asien angeboten. Die Malware namens „YZHCSMS“ zielt wohl nur auf asiatische Märkte ab. Zunächst versucht sie, eine Offline-Website zu erreichen, um eine Liste mit Premium-Nummern (eine Kurzwahlnummer, an die Sie SMS-Nachrichten senden, wie beispielsweise zur Stimmabgabe für „Deutschland sucht den Superstar“) abzurufen. Dann versendet sie SMS-Nachrichten, die alle mit der Zeichenfolge „YZHC“ beginnen. Die vom Webserver abgerufenen Premium-Nummern werden mit einer Liste fest programmierter Nummern kombiniert. Dann sendet „YZHCSMS“ alle 50 Minuten eine SMS oder Textnachricht an den Zielserver, die den Benutzer bei jeder Nachricht je nach Tarif teuer zu stehen kommt. Der SMS-Trojaner läuft als Hintergrunddienst und wird entweder bei Einschalten des Geräts oder bei Ausführung der infizierten Anwendung angestoßen. YZHCSMS funktioniert nicht nur als Hintergrunddienst; der Trojaner verschleiert auch seine wahre Natur, indem er alle gesendeten SMS-Nachrichten und ebenso ankommende Rechnungen oder Bestätigungsmeldungen auf die soeben versandte SMS löscht. Einige Varianten dieses SMS-Trojaners löschen nur Nachrichten im Zusammenhang mit den im Schadcode fest programmierten Nummern. Andere dagegen versuchen, Nachrichten mit Bezug auf die vom Offline-Server abgerufenen Nummern zu löschen. Unsere Analysen bei mindestens einer Variante ergaben, dass die folgenden Nummern in verschiedenen Varianten von „YZHCSMS“ fest programmiert sind: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 Die folgenden Nummern sind in der „mmssender“-Klasse vorhanden: 052714034192100013309 10086 1240000089393100527140341001 Mindestens eine Variante fängt Nachrichten mit Bezug auf die folgenden fest programmierten Nummern über die „SMSObserver“-Klasse ab: 10086 1065800885566 Zum jetzigen Zeitpunkt ist unklar, ob diese Premium-Nummern auch außerhalb der asiatischen Märkte funktionieren. Laut Angaben des Android Market wurden diese Anwendungen schätzungsweise nur 500 Mal heruntergeladen.

A.ZSone.gen1

Name A.ZSone.gen1
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher, vom infizierten Gerät verschickten Nachrichten, entstehen könnten.

A.ZSone.gen2

Name A.ZSone.gen2
Kategorie
Veröffentlichungsdatum 27.01.2012
Update-Nummer 47

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Apps, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.ZSone.gen3

Name A.ZSone.gen3
Kategorie
Veröffentlichungsdatum 21.12.2011
Update-Nummer 43

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Apps, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.01

Name A.Zsone.01
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Apps, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.02

Name A.Zsone.02
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Apps, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.03

Name A.Zsone.03
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Apps, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.04

Name A.Zsone.04
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Apps, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.05

Name A.Zsone.05
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.06

Name A.Zsone.06
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.07

Name A.Zsone.07
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.08

Name A.Zsone.08
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.09

Name A.Zsone.09
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.10

Name A.Zsone.10
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

A.Zsone.11

Name A.Zsone.11
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Anwendungen versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden. Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde. Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende: iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

ADRD

Name ADRD
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

ADRD kommt in Android-Anwendungen vor, die von offiziellen Anwendungen raubkopiert wurden. Android-Anwendungen werden vom offiziellen Android Market heruntergeladen, sie werden entpackt, der bösartige ADRD-Code wird in die Anwendung eingeführt, sie wird neu gepackt und dann in nicht offiziellen Anwendungs-Repositorys von Drittanbietern verteilt. Bisher kommt ADRD nur in chinesischen Anwendungs-Repositorys vor, doch könnte sich die Bedrohung relativ leicht auf andere Websites von Drittanbietern ausbreiten.

Sobald es den Angreifern gelingt, einen Benutzer zu täuschen, und er die Anwendung herunterlädt und auf seiner SD-Karte installiert, registriert sie sich selbst und wird ausgeführt, wenn eine der folgenden Bedingungen eintritt:

Seit Betriebssystemstart sind zwölf Stunden vergangen

Die Netzwerkverbindung hat sich geändert

Auf dem Gerät geht ein Anruf ein

ADRD versucht dann, die folgenden Daten zu erfassen:

3gnet
3gwap
APN
cmnet
cmwap
Hardware-Informationen
IMEI
IMSI
Netzwerkverbindung
uninet
uniwap
Wifi

Anschließend verschlüsselt der Trojaner die gestohlenen Informationen und versucht, sie an folgende Websites zu senden:
[http://]adrd.taxuan.net/index[REMOVED]
[http://]adrd.xiaxiab.com/pic.[REMOVED]
Nach dem Senden der oben genannten Informationen an die Remote-Server erhält ADRD eine Reihe von Anweisungen, die den Trojaner auffordern, Manipulationen an der Suchmaschine zu initiieren, indem er mehrere HTTP-Anforderungen an folgende Site stellt:

wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]

Zweck dieser Suchanfragen ist es, die Rankings für eine Website zu erhöhen.

ADRD kann durch Download und Installation einer neuen Version von sich auch aus der Ferne aktualisiert werden:
sdcard/uc/myupdate.apk

ANSERVER

Name ANSERVER
Kategorie
Veröffentlichungsdatum 28.09.2011
Update-Nummer 39

Anserver kommt in einer Reihe bösartiger Anwendungen für Android-Geräte vor. Die mit Anserver infizierten Anwendungen können sich mit einem Remote-Server verbinden, der vom Entwickler der Malware kontrolliert wird. Es sollen weitere Schädlinge auf das Gerät heruntergeladen und ohne die Einwilligung des Benutzers installiert werden. Es ist auch bekannt, dass Anserver versucht, Anwendungen zur mobilen Sicherheit zu identifizieren, um sie zu zerstören. Darüber hinaus

kommt Anserver in einer legitimen, aber von einem Trojaner befallenen Hostanwendung vor. Auf diese Weise soll der Benutzer zur Installation verleitet werden. Nach der Installation einer mit Anserver infizierten App wird bösartiger Code als „Touch Screen“ auf dem Gerät installiert. Der Benutzer wird in betrügerischer Absicht aufgefordert, ein falsches Upgrade der ursprünglichen Hostanwendung zu akzeptieren.

Sobald alles installiert ist, wird Anserver auf verschiedene Arten angestoßen:
- Änderung der Verbindung
- Einschalten des Geräts
- Anschließen oder Entfernen eines USB-Massenspeichers
- Empfang einer SMS-Nachricht
- Änderung der Eingabemethode
- Boot abgeschlossen
- Entsperren des Geräts

Nachdem die Malware erfolgreich gestartet wurde, ruft Anserver den Home-Server an und überprüft ihn auf neue „Command-and-Control“ (C&C)-Serveradressen. Bei erfolgreicher Verbindung empfängt Anserver Befehle zum Aktualisieren seiner C&C-Serverdatenbank in Klartext-XML.

Schließlich ist Anserver in der Lage, potenziell vertrauliche Gerätedaten (Betriebssystemversion, IMEI-Nummer, Gerätehersteller und Gerätemodell) an die Entwickler zu übermitteln.

AccuTracking

Name AccuTracking
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

AccuTracking for Android

An dieser Signatur erkennen Sie, ob die Anwendung „AccuTracking for Android“ auf einem Android-Gerät vorhanden ist. AccuTracking ist eine Android-Anwendung, die Ihr mobiles Gerät in ein GPS-Tracking-Gerät verwandelt. Zwar ist diese Art der GPS-Ortung notwendig und legal, doch AccuTracking kann im Verborgenen ohne Wissen des Benutzers ausgeführt werden. Unbefugte Personen könnten den Standort anderer aufspüren und diese zu unfreiwilligen Opfern machen.

AnserverBot

Name AnserverBot
Kategorie
Veröffentlichungsdatum 28.09.2011
Update-Nummer 39

Anserver umfasst eine Reihe bösartiger Anwendungen für Android-Geräte. Die mit Anserver infizierten Anwendungen können sich mit einem Remote-Server verbinden, der vom Entwickler der Malware kontrolliert wird. Es sollen weitere Schädlinge auf das Gerät heruntergeladen und ohne die Einwilligung des Benutzers installiert werden. Es ist auch bekannt, dass Anserver versucht, Anwendungen zur mobilen Sicherheit zu identifizieren, um sie zu zerstören. Darüber hinaus

kommt Anserver in einer legitimen, aber von einem Trojaner befallenen Hostanwendung vor. Auf diese Weise soll der Benutzer zur Installation verleitet werden. Nach der Installation einer mit Anserver infizierten App wird bösartiger Code als „Touch Screen“ auf dem Gerät installiert. Der Benutzer wird in betrügerischer Absicht aufgefordert, ein falsches Upgrade der ursprünglichen Hostanwendung zu akzeptieren.

Sobald alles installiert ist, wird Anserver auf verschiedene Arten angestoßen:
- Änderung der Verbindung
- Einschalten des Geräts
- Anschließen oder Entfernen eines USB-Massenspeichers
- Empfang einer SMS-Nachricht
- Änderung der Eingabemethode
- Boot abgeschlossen
- Entsperren des Geräts

Nachdem die Malware erfolgreich gestartet wurde, ruft Anserver den Home-Server an und überprüft ihn auf neue „Command-and-Control“ (C&C)-Serveradressen. Bei erfolgreicher Verbindung empfängt Anserver Befehle zum Aktualisieren seiner C&C-Serverdatenbank in Klartext-XML.

Schließlich ist Anserver in der Lage, potenziell vertrauliche Gerätedaten (Betriebssystemversion, IMEI-Nummer, Gerätehersteller und Gerätemodell) an die Entwickler zu übermitteln.

Backdoor.AndroidOS.GinMaster.a1

Name Backdoor.AndroidOS.GinMaster.a1
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

GingerMaster ist die erste Android-Schadsoftware, die einen Root Exploit in Android 2.3 (Gingerbread) ausnutzt. Somit unterscheidet sie sich von früheren Android-Malware-Varianten, die mithilfe von Root-Rechten die Funktionen des Geräts bei Android-Versionen 2.2 und früher erweiterten und den Root Exploits zum Durchbruch verhalfen.

GingerMaster folgt dem Trend der Neuverpackung des bösartigen Codes in legitimen Anwendungen. Sobald die mit dem Trojaner infizierte Anwendung installiert ist, trägt sie einen Empfänger ein, damit sie bei erfolgreichem Systemstart benachrichtigt werden kann. Gleichzeitig startet sie einen Dienst im Hintergrund, der Geräteinformationen sammelt, um diese auf einen Remote-Server hochzuladen.

Zusätzlich zur Erfassung dieser Gerätedaten versuchen die mit GingerMaster infizierten Apps, unter Ausnutzung des Root Exploit „GingerBreak“ Root-Rechte zu erlangen, und eine Root Shell in einer System-Partition für spätere Verwendungen zu installieren.

Sobald GingerMaster über Root-Rechte verfügt, versucht er eine Verbindung zu einem entfernten Command-and-Control (C&C)-Server herzustellen. Dort wartet er auf Anweisungen vom Botmaster. GingerMaster kann dann unbemerkt weitere Apps herunterladen und installieren, welche die Funktionen der Malware noch erweitern könnten. Dies erfolgt durch Ausführen des „pm install"-Befehls in der zuvor installierten Root Shell.

Backdoor.AndroidOS.GinMaster.a4

Name Backdoor.AndroidOS.GinMaster.a4
Kategorie
Veröffentlichungsdatum 30.01.2012
Update-Nummer 50

GingerMaster ist die erste Android-Schadsoftware, die einen Root Exploit in Android 2.3 (Gingerbread) ausnutzt. Somit unterscheidet sie sich von früheren Android-Malware-Varianten, die mithilfe von Root-Rechten die Funktionen des Geräts bei Android-Versionen 2.2 und früher erweiterten und den Root Exploits zum Durchbruch verhalfen. GingerMaster folgt dem Trend der Neuverpackung des bösartigen Codes in legitimen Anwendungen. Sobald die mit dem Trojaner infizierte Anwendung installiert ist, trägt sie einen Empfänger ein, damit sie bei erfolgreichem Systemstart benachrichtigt werden kann. Gleichzeitig startet sie einen Dienst im Hintergrund, der Geräteinformationen sammelt, um diese auf einen Remote-Server hochzuladen. Zusätzlich zur Erfassung dieser Gerätedaten versuchen die mit GingerMaster infizierten Apps, unter Ausnutzung des Root Exploit „GingerBreak“ Root-Rechte zu erlangen, und eine Root Shell in einer System-Partition für spätere Verwendungen zu installieren. Sobald GingerMaster über Root-Rechte verfügt, versucht er eine Verbindung zu einem entfernten Command-and-Control (C&C)-Server herzustellen. Dort wartet er auf Anweisungen vom Botmaster. GingerMaster kann dann unbemerkt weitere Apps herunterladen und installieren, welche die Funktionen der Malware noch erweitern könnten. Dies erfolgt durch Ausführen des „pm install"-Befehls in der zuvor installierten Root Shell.

Backdoor.AndroidOS.Kmin.c

Name Backdoor.AndroidOS.Kmin.c
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

KMin ist eine bösartige Anwendung, die Android-Geräte angreift. Der Trojaner gibt sich als Android-App namens „KMHome“ aus und versucht, die Gerätekennung, Teilnehmer-ID und die aktuelle Uhrzeit des Geräts zu erfassen, um sie an einen Remote-Server zu senden.

BaseBrid1

Name BaseBrid1
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

BaseBridge kommt in einer Reihe von raubkopierten, mit Trojanern versehenen Hostanwendungen vor, die ein Android-Benutzer für rechtmäßige Anwendungen hält. Die mit BaseBridge infizierten Anwendungen nutzen die Schwachstelle „udev“ (BID 34536) in Android 2.2-Geräten und früheren Versionen, um Root-Privilegien auf dem infizierten Gerät zu erlangen.

Sobald Root-Privilegien abgerufen sind, legen die mit BaseBridge infizierten Anwendungen den schädlichen Code namens „SMSApp.apk“ ab. Dieser wird im Anwendungspaket in „/res/raw/anservb“ gespeichert. Nach der erfolgreichen Installation stellt SMSApp.apk die Verbindung zu einem Remote-Server über Port 8080 her, um Informationen zu senden, die das Gerät identifizieren, z. B.: „Teilnehmer-ID“, „Hersteller und Modell“ sowie „Android-Version“.

Anschließend werden die mit BaseBridge infizierten Apps so konfiguriert, dass sie eine Reihe SMS-Nachrichten an SMS-Nummern mit Premium-Tarifen senden. Die Kosten pro Nachricht gehen dann zulasten des Mobiltelefonkontos. Diese Beträge sind fast nie rückerstattungsfähig. BaseBridge kann auch SMS-Nachrichten aus dem Eingangsordner des mobilen Geräts löschen. Die Chancen, dass der Benutzer den Versand der Premium-SMS-Nachrichten bemerkt, verringern sich. Vom Gerät können also weiterhin ohne Einwilligung des Nutzers Nummern angewählt werden.

BaseBridge

Name BaseBridge
Kategorie
Veröffentlichungsdatum 07.06.2011
Update-Nummer 1

BaseBridge kommt in einer Reihe von raubkopierten, mit Trojanern versehenen Hostanwendungen vor, die ein Android-Benutzer für rechtmäßige Anwendungen hält. Die mit BaseBridge infizierten Anwendungen nutzen die Schwachstelle „udev“ (BID 34536) in Android 2.2-Geräten und früheren Versionen, um Root-Privilegien auf dem infizierten Gerät zu erlangen.

Sobald Root-Privilegien abgerufen sind, legen die mit BaseBridge infizierten Anwendungen den schädlichen Code namens „SMSApp.apk“ ab. Dieser wird im Anwendungspaket in „/res/raw/anservb“ gespeichert. Nach der erfolgreichen Installation stellt SMSApp.apk die Verbindung zu einem Remote-Server über Port 8080 her, um Informationen zu senden, die das Gerät identifizieren, z. B.: „Teilnehmer-ID“, „Hersteller und Modell“ sowie „Android-Version“.

Anschließend werden die mit BaseBridge infizierten Apps so konfiguriert, dass sie eine Reihe SMS-Nachrichten an SMS-Nummern mit Premium-Tarifen senden. Die Kosten pro Nachricht gehen dann zulasten des Mobiltelefonkontos. Diese Beträge sind fast nie rückerstattungsfähig. BaseBridge kann auch SMS-Nachrichten aus dem Eingangsordner des mobilen Geräts löschen. Die Chancen, dass der Benutzer den Versand der Premium-SMS-Nachrichten bemerkt, verringern sich. Vom Gerät können also weiterhin ohne Einwilligung des Nutzers Nummern angewählt werden.

BatteryDoctor

Name BatteryDoctor
Kategorie
Veröffentlichungsdatum 26.10.2011
Update-Nummer 39

Battery Doctor ist ein Trojaner, der Android-Benutzer im Visier hat. Die Anwendung gibt damit an, den Akku eines Android-Geräts aufladen zu können. In Wahrheit erfasst Battery Doctor folgende private Informationen auf dem Gerät und sendet sie an einen entfernten Server:

- IMEI-Nummer des Geräts
- Telefonnummer
- Adressbuch/Kontaktdaten
- Name
- E-Mail-Adresse

Die eigentliche Absicht von Battery Doctor lässt sich an den Berechtigungsstufen erkennen, die während der Installation angefordert werden:

- Erfassen von Informationen über aktuelle oder kürzlich ausgeführte Aufgaben.
- Zugriff auf Informationen und Ändern des WLAN-Status.
- Erkennen von gekoppelten Bluetooth-Geräten und Herstellen einer Verbindung.
- Überprüfung des aktuellen Telefonstatus.
- Lesen und Schreiben in den Systemeinstellungen.
- Schreiben auf externe Speichergeräte.
- Öffnen von Netzwerkverbindungen.
- Zugriff auf Informationen über Netzwerke.
- Starten sofort nach Booten des Geräts.
- Aktivieren des Vibrationsmodus.
- Zugriff auf Standortinformationen wie Cell-ID oder WiFi.
- Lesen von Kontaktdaten.

Bgserv

Name Bgserv
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

Bgserv greift Android-Geräte an und kommt als raubkopierte, trojanisierte Android-Anwendung vor, die vermeintlich legitim ist. Wenn ein Gerät mit Bgserv infiziert ist, versucht der in einer offenbar legitimen Anwendung versteckte Schädling, Geräteidentifzierungsinformationen zu erfassen und an einen entfernten Server zu senden. Folgende Informationen werden erfasst:

- IMEI-Nummer
- Telefonnummer
- Zeitpunkt der Installation
- Android-Version
- SMS Center

Bgserv versucht auch, eine Backdoor auf dem Gerät zu öffnen, indem es eine Liste mit brauchbaren Befehlen herunterlädt. Damit kann der Malware-Entwickler zusätzliche Funktionen auf dem Gerät einleiten, z. B:

- SMS-Nachrichten vom Gerät senden
- Eingehende SMS-Nachrichten blockieren
- Listen mit externen Links herunterladen
- Zusätzliche Dateien herunterladen
- Den Access Port Name (APN) des Geräts ändern
- Seine Aktivitäten zur Fehlerbehebung protokollieren

CellPhoneRecon

Name CellPhoneRecon
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

CellPhoneRecon ist eine kommerzielle Spyware, mit der eine nicht autorisierte Person die Kommunikation und den Standort eines ahnungslosen Benutzers überwachen kann.

Mit CellPhoneRecon können SMS-Nachrichten, Rufprotokolle, gesendete und empfangene E-Mails und GPS-Positionsdaten eines Android-Geräts überwacht werden. Dies erfolgt durch automatisches Hochladen der Kommunikations- und Positionsdatensätze auf einen entfernten Server. Die Kontroll-/Installationsinstanz erhält dann über ein Web-Portal Zugriff auf die Protokolle und Daten. CellPhoneRecon kann mit direktem Zugang zu einem Gerät installiert und daraufhin für die Ausführung im Stealth-Modus konfiguriert werden.

Diese handelsüblichen Überwachungs- und Verfolgungsanwendungen, die vom Benutzer unbemerkt im Verborgenen ausgeführt werden, stellen für den ahnungslosen Nutzer ein gewisses Risiko dar. Deshalb sollten sie als Spyware bezeichnet und erkannt werden, damit der Benutzer über ihre Existenz Kenntnis erhält. Wenn CellPhoneRecon wissentlich und auf legale Weise auf einem Android-Gerät installiert wird, können Warnungen vom Benutzer ignoriert werden.

DDLight-1

Name DDLight-1
Kategorie
Veröffentlichungsdatum 31.05.2011
Update-Nummer 1

DroidDream Light, eine Variante des Vorgängers DroidDream, traf erneut den offiziellen Android Market. Wie sein Vorgänger kommt der Trojaner DroidDream Light in raubkopierten, manipulierten Android-Anwendungen vor. Analysen weisen darauf hin, dass der Schadcode in den raubkopierten, mit Trojanern infizierten Apps bei Empfang eines eingehenden Anrufs aktiviert wird. Nachdem er initialisiert wurde, erfasst DroidDream Light die folgenden Informationen und sendet sie an einen Remote-Server:

- IMEI-Nummer
- Telefonnummer
- Gerätemodell
- Android-Version

Die mit DroidDream Light infizierten Anwendungen sind auch in der Lage, weitere Pakete von einem Remote-Server herunterzuladen und zu installieren. Im Unterschied zu seinem Vorgänger DroidDream verfügt DroidDream Light nicht über die Möglichkeit, diese weiteren Apps im Hintergrund zu installieren. Der Benutzer wird also zur Installation aufgefordert.

DroidDelux

Name DroidDelux
Kategorie
Veröffentlichungsdatum 30.09.2011
Update-Nummer 35

DroidDelux kommt in raubkopierten, trojanisierten Android-Anwendungen vor. DroidDelux nutzt den Root Exploit „rageagainstthecage“ aus, um unbemerkt Root-Rechte für Android-Geräte mit der Betriebssystemversion 2.2 und früheren Versionen zu erlangen. Im Besitz dieser Root-Rechte vergibt DroidDelux allgemeine Leseberechtigung für Systemdateien, die Anmeldeinformationen des Benutzers enthalten. So können weitere Anwendungen darauf zugreifen, um vertrauliche Benutzerkontodaten zu stehlen.

Nachdem DroidDelux gestartet wurde, versucht er, vertrauliche Gerätedaten zu erfassen, und lädt diese über Google Analytics auf den Server des Angreifers hoch, mit der Konto-ID „UA-19670793-1“.

Folgende Gerätedaten werden an den Angreifer übertragen:

- Smartphonemodell
- Hersteller des Geräts
- Marke des Geräts

Die freigegebenen Dateien mit Anmeldeinformationen sind:

/data/system/accounts.db
/data/data/com.android.email/databases/EmailProvider.db
/data/data/com.android.providers.contacts/databases/contacts2.db
/data/data/com.android.providers.telephony/databases/mmssms.db

Diese Dateien enthalten vertrauliche Daten des Benutzers wie beispielsweise Name des Benutzerkontos, authToken, Kontakte usw.

Bei unseren Analysen konnten keine weiteren Payloads in den mit DroidDelux infizierten Anwendungen festgestellt werden.

DroidDream

Name DroidDream
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

DroidDream war der erste enorm gefährliche Trojaner im Android Market. DroidDream tauchte in einer Reihe von raubkopierten, mit Trojanern infizierten Apps auf. Die Malware-Entwickler packten bösartigen Code in bekannte Apps und veröffentlichten diese neben den rechtmäßigen Apps.

DroidDream nutzte den „rageagainstthecage“ Root-Exploit, um Rootrechte auf den infizierten Geräten zu erlangen. Mit diesen Rootrechten packte DroidDream zusätzlichen Schadcode in die Apps, der sich ohne Kenntnis des Benutzers unbeaufsichtigt im Hintergrund installierte. Das zusätzliche Codepaket ermöglicht dem Trojaner die Erfassung der folgenden Gerätedaten:

- Produkt-ID
- Modell
- Service Provider
- Sprache des Geräts
- Die auf dem Gerät konfigurierte UserID

Diese Informationen werden dann an einen Remote-Server übermittelt.

DroidDream ging sogar noch einen Schritt weiter und ermöglichte dem Trojaner, nach Belieben weitere Anwendungen herunterzuladen und im Hintergrund zu installieren. Die Einsatzmöglichkeiten der Malware waren fast unbegrenzt, und dies, ohne dass der Benutzer davon etwas merkte.

DroidDream-Inside

Name DroidDream-Inside
Kategorie
Veröffentlichungsdatum 27.07.2011
Update-Nummer 1

DroidDream-Inside erkennt die Payload in den mit DroidDream infizierten Anwendungen und wird zum Zeitpunkt der Infizierung auf dem Gerät des Opfers installiert.

DroidKungFu

Name DroidKungFu
Kategorie
Veröffentlichungsdatum 06.06.2011
Update-Nummer 1

Die Android-Malware DroidKungFu findet sich in neuen App-Paketen, die raubkopiert und mit einem Trojaner infiziert wurden. Sie enthalten nun Schadcode für bestimmte Funktionen und können von alternativen Marktplätzen für chinesischsprachige Anwender heruntergeladen werden.

Droid KungFu nutzt die beiden Root Exploits „udev“ und „rageagainstthecage“ für den unbemerkten Root-Zugang auf einem infizierten Gerät. Nach der Installation registriert die infizierte Anwendung einen neuen Dienst und einen neuen Empfänger auf dem Gerät. Der Empfänger wird beim Neustart des Geräts benachrichtigt, und der Dienst kann automatisch im Hintergrund gestartet werden. Der gestartete Dienst entschlüsselt die verschlüsselten Root Exploit Payloads und startet die Exploits mit dem Gerät, um mehr Root-Rechte zu erlangen.

Mit den erhaltenen Root-Rechten erfasst DroidKungFu Geräteinformationen und sendet sie an einen entfernten Server. Folgende Geräteinformationen werden erfasst:

- IMEI-Nummer
- Gerätemodell
- Android-Version

Sobald die Schadsoftware die erforderlichen Informationen für die Registrierung des Geräts auf dem Remote-Server erfasst und übertragen hat, kann DroidKungFu mit den Root-Rechten des Geräts im Hintergrund ein weiteres Paket auf dem Gerät ohne Einwilligung des Benutzers installieren. Die installierte Anwendung „Legacy“ gibt vor, eine legitime Google Search-Anwendung zu sein und weist auch dasselbe Symbol auf. Bei „Legacy“ handelt es sich in Wirklichkeit um eine „Hintertür“ oder Backdoor. Diese stellt die Verbindung zu einem Remote-Server her, um Befehle oder Anweisungen zum weiteren Vorgehen zu erhalten. Im Grunde wird das infizierte Gerät in ein Bot verwandelt.

DroidKungFu2

Name DroidKungFu2
Kategorie
Veröffentlichungsdatum 04.07.2011
Update-Nummer 1

DroidKungFu2 ist eine Variante der ursprünglichen Malware DroidKungFu, die in raubkopierten, mit Trojanern infizierten Android-Anwendungen enthalten ist. DroidKungFu2 ist mit einigen derselben Funktionen wie ihr Vorgänger ausgestattet und versucht, Teile des in Dalvik (auf Java basierend) geschriebenen Codes zu verschleiern. Stattdessen wird nativer Code verwendet. Außerdem verwendet diese Malware zwei weitere Command-and-Control (C&C)-Domänen, während der Vorgänger nur eine C&C-Domäne nutzt.

Diese Änderungen führen dazu, dass vorhandene Erkennungsmethoden nicht ausreichen und Analysevorgänge verlangsamen. Für Forscherteams wird die Analyse und Identifizierung der Kommunikationswege und anderer Funktionen des Schädlings also schwieriger.

DroidKungFu3

Name DroidKungFu3
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 5

DroidKungFu3 ist die dritte Variante in der Reihe der DroidKungFu-Malware, die Android-Geräte angreift. Wie die Vorgänger kommt DroidKungFu3 in raubkopierten, mit Trojanern infizierten Anwendungen für Android-Geräte vor. DroidKungFu3 geht beim Verschleiern seiner wahren Absichten sogar noch einen Schritt weiter. Während bei DroidKungFu2 zwei zusätzliche Command-and-Control (C&C)-Server genutzt und fest in nativen Code programmiert wurden, verschlüsselt DroidKungFu3 alle drei C&C-Serveradressen, um die Arbeit des Reverse Engineering noch zu erschweren.

Der Hauptzweck von DroidKungFu3 ändert sich durch diese raffinierten Variationen jedoch nicht. Wie die beiden Vorgänger erlangt DroidKungFu3 über einen von zwei Root Exploits die Root-Rechte auf einem infizierten Gerät. Wenn der Trojaner über Root-Rechte verfügt, versucht er, ein eingebettetes APK (Android-Paket) zu installieren, das als gefälschtes Google-Update maskiert ist.

Wurde die eingebettete Anwendung erfolgreich installiert, wird dem Benutzer kein Anwendungssymbol angezeigt. In Wirklichkeit öffnet die installierte Anwendung eine Backdoor zum Gerät, die eine Verbindung zu Remote-Servern herstellt und auf Anweisungen wartet. So wird aus dem Gerät ein effektiver Bot.

Eicar

Name Eicar
Kategorie
Veröffentlichungsdatum 28.09.2011
Update-Nummer 39

EICAR-TESTDATEI
DIES IST KEINE SCHÄDLICHE ANWENDUNG. SIE RICHTET AUF IHREM GERÄT KEINERLEI SCHADEN AN.

Diese App zeigt lediglich eine Meldung ähnlich der oben genannten an. Sie erfordert keine Berechtigungen bei der Installation. Sie liest keine Daten, greift nicht auf das Internet zu, noch erstellt sie irgendwelche Dateien. Sie wird nicht im Hintergrund ausgeführt, startet nicht automatisch und macht auch sonst nichts, außer eine Meldung anzuzeigen.

Sie enthält jedoch Text, der vom European Institute for Computer Antivirus Research (EICAR) erstellt wurde. Dieser Text sollte von jedem Virenscanner sicher als Virus erkannt werden. Damit können Benutzer testen, ob Antivirenprogramme korrekt funktionieren, ohne die Geräte mit einem echten Virus oder mit Malware zu infizieren.

Eines möchten wir unmissverständlich klarstellen: Diese App ist vollkommen harmlos, sollte jedoch als Virus erkannt werden. Das ist der einzige Zweck. Wenn Sie einen Virenscanner auf Ihrem Handy ausführen, sollte er diese App bei der Installation als Virus erkennen.

Detaillierte Informationen finden Sie bei der Suche nach „EICAR-Testdatei“ in Wikipedia oder auf der EICAR-Website unter eicar.org.

Exploit.Linux.Lotoor

Name Exploit.Linux.Lotoor
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

Exploit.Linux.Lotoor ist eine schädliche Anwendung, die auf Android-Geräte abzielt. Der enthaltene Root Exploit wirkt sich auf Geräte mit der Android-Version bis 2.3 aus. Bei diesem Schädling muss der Benutzer die Hostanwendung auf dem Gerät installieren. Nach der Installation startet die manipulierte Anwendung den Root Exploit auf dem Gerät, um Root-Rechte zu erlangen. Die vier im Ordner „asset“ enthaltenen Dateien sind der Schlüssel zu den Funktionen der Malware. Sie werden beim Installieren der Hostanwendung umbenannt und erhalten die Dateierweiterung .sh:

- gbfm.png
- install.png
- installsoft.png
- runme.png

Wenn die Malware mit Root-Rechten ausgestattet ist, führt sie die geänderte Datei „install.sh“ aus, um die Dateizugriffsrechte der Systempartition (chmod 4775) festzulegen. Die Shell wird dann aus „/system/bin/sh“ in einen neuen, von der bösartigen Anwendung erstellten Ordner namens „/system/xbin/appmaster“ kopiert und die Partition wird neu gemounted. Daraufhin wird der Zugriff auf die Shell jederzeit möglich.

Dieser Exploit funktioniert nur auf einem Gerät mit einer eingesteckten SD-Karte.

Fake-netFlic

Name Fake-netFlic
Kategorie
Veröffentlichungsdatum 26.10.2011
Update-Nummer 39

Der Trojaner Fake-netFlic ist in der App NetFlix für Android-Geräte versteckt. Bei der Installation fordert Fake-netFlic die folgenden Berechtigungen an, die weit über die der offiziellen NetFlix-App hinausgehen:

- Öffnen von Netzwerkverbindungen.
- Zugriff auf Informationen über Netzwerke.
- Zugriff auf Informationen über den WLAN-Status.
- Überprüfung des aktuellen Telefonstatus.
- Verhindern, dass der Prozessor in den Schlafmodus übergeht oder der Bildschirm sich verdunkelt.
- Einschleusen von Benutzerereignissen in den Ereignis-Stream und Weiterleitung an jedes beliebige Fenster.
- Zulassen des Zugriffs auf Systemprotokolle der unteren Ebene.
- Schreiben auf externe Speichergeräte.
- Erfassen von Debugging-Protokollen.
- Erfassen von Informationen über aktuelle oder kürzlich ausgeführte Aufgaben.

Fake-netFlic zeigt einen Anmeldebildschirm an, der demjenigen der offiziellen NetFlix-Anwendung zum Verwechseln ähnlich sieht. Es gibt jedoch sehr feine Unterschiede. Faktisch erfolgt keine Anmeldung, wenn der Benutzer seine NetFlix-Anmeldeinformationen auf der gefälschten Anmeldeseite eingibt. Der Schädling sendet die Anmeldeinformationen sofort an einen entfernten Server.

FakePlayer

Name FakePlayer
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

„Fake Player“ ist der erste bekannte SMS-Trojaner, der Android-Geräte attackiert. Diese Anwendung gelangt auf das Smartphone in Form eines APK (Android Package) namens „ru.apk“. In der Anwendungsliste des Geräts ist sie unter dem Namen „org.me.androidapplication1“ aufgeführt und wird im App-Drawer als „Movie Player“ angezeigt. Die Analyse ergab, dass es sich bei „Fake Player“ um eine eher rudimentäre Anwendung handelt. Der Entwickler erstellte eine einfache „Hello, World“-App und modifizierte den Code so, dass nur sehr einfache SMS-Funktionen mit Anforderung der SMS_SEND-Berechtigung enthalten sind. Der in „Fake Player“ getarnte SMS-Trojaner sendet nach der Installation SMS-Nachrichten mit der Ziffernfolge 798657 im Nachrichtentext an die gebührenpflichtige Premium-SMS-Nummer 3353. Für jede versandte Nachricht wird dann das Mobiltelefonkonto belastet. Nachdem die SMS-Nachricht gesendet wurde, sendet der Trojaner dieselbe Nachricht an die Kurzwahlnummer 3354 und eine dritte Nachricht an 3353.

Laut Analyse wurde „Fake Player“ nur über Drittanbieter-Kanäle verteilt und existierte in keinem lokalen Android Market. Zudem geht man davon aus, dass „Fake Player“ außerhalb der Netze russischer Carrier gar nicht richtig funktionieren würde. Denn die konfigurierten Kurzwahlnummern gibt es nur in russischen Netzen, und die sind von Carrier-Netzen außerhalb Russlands nicht erreichbar. Darüber hinaus kann sich „Fake Player“ nicht selbst verbreiten, da der Benutzer des Geräts die notwendigen Aktionen zur Installation der App einleiten und die angeforderten Berechtigungen genehmigen muss.

FlexiSpy

Name FlexiSpy
Kategorie
Veröffentlichungsdatum 22.02.2012
Update-Nummer 50

FlexiSpy ist ein kommerzielles Spionagetool, das die meisten großen Mobilplattformen angreift. Flexispy zeichnet Anrufe und SMS-Nachrichten auf und sendet diese an einen Remote-Server. Es handelt sich eigentlich um eine Anwendung, die speziell zu diesem Zweck programmiert wurde. Sie wird jedoch heimlich, ohne Hinweise auf den Zweck ausgeführt und somit als Trojaner eingestuft. FlexiSpy ist in verschiedenen Softwarepaketen mit einem zunehmenden Funktionsumfang erhältlich, und alle Funktionen werden auch unterstützt. Folgende Funktionen sind im kompletten Funktionssatz enthalten:

Fernabhören
Telefonkontrolle durch SMS
SMS- und E-Mail-Protokollierung
Ruflistenprotokollierung
Standortverfolgung
Rufüberwachung
GPS-Ortung
Abschirmung,
Schwarze Liste
Weiße Liste
Web-Support
Sichere Anmeldung
Berichtsanzeige
Erweiterte Suche
Berichts-Download
Sonderfunktionen
Benachrichtigung bei SIM-Austausch
GPRS-Funktion erforderlich
Aufgezeichnetes Gespräch abhören

Foncy

Name Foncy
Kategorie
Veröffentlichungsdatum 09.12.2011
Update-Nummer 43

Foncy ist ein SMS-Trojaner, der in bekannte, legitime Apps gepackt wurde. Mit einer bestimmten Methode ruft er den Ländercode des Geräts ab und verschickt dann SMS-Nachrichten an kostenpflichtige Premium-SMS-Dienste in dem entsprechenden Land. Derzeit greift Foncy Nutzer und Länder in Europa an.

GGTracker

Name GGTracker
Kategorie
Veröffentlichungsdatum 23.06.2011
Update-Nummer 1

GGTracker ist ein Trojaner für Android-Geräte, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet und auch vertrauliche Gerätedaten erfasst.

Wird der Trojaner ausgeführt, sendet er die Telefonnummer des betreffenden Geräts, damit der Überwachungsserver SMS-Nachrichten an das Gerät übermitteln kann.

Dann überprüft der Trojaner die empfangenen SMS-Nachrichten und fängt diejenigen von folgenden Nummern ab:

00033335
00036397
33335
36397
46621
55991
55999
56255
96512
99735

Auf SMS-Nachrichten von der Nummer 41001 antwortet er mit der folgenden SMS:
YES

Der Trojaner kann die folgenden Informationen erfassen:

- Telefonnummer des Geräts
- Name des Netzbetreibers
- Absender und Inhalt der abgefangenen SMS-Nachrichten
- Absender und Inhalt der SMS-Nachrichten im Eingangsordner
- Version des Android-Betriebssystems

Die erfassten Daten werden schließlich an die folgende Netzwerkadresse gesendet:
http://www.amaz0n-cloud.com/droid/droid.php

Geinimi

Name Geinimi
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

Geinimi ist ein Android-Trojaner, der personenbezogene und gerätespezifische Informationen finden und an Remote-Server übermitteln kann. Geinimi gilt als die fortschrittlichste und gefährlichste Schadsoftware für Android-Geräte, da sie auch Botnet-Fähigkeiten einführt, die eindeutig darauf schließen lassen, dass Command-and-Control (C&C)-Funktionen Bestandteil der Geinimi-Codebasis sein könnten. Bis jetzt konnten noch keine echten C&C-Kommunikationen identifiziert werden, doch für die Kanäle erbrachte die Analyse den Nachweis. Geinimi bietet folgende Möglichkeiten:

- Überwachen und Senden von SMS-Nachrichten

- Löschen von ausgewählten SMS-Nachrichten

- Überwachen und Senden von Standortdaten

- Sammeln und Senden von Gerätekennungsdaten (IMEI/IMSI)

- Download von Drittanbieter-Anwendungen und Aufforderung an den Benutzer, diese zu installieren

- Auflistung und Übertragung der auf dem infizierten Gerät installierten Anwendungen

- Anrufe tätigen

- Unbeaufsichtigtes Herunterladen von Dateien

- Starten des Browsers mit vordefinierter URL

Bis zum jetzigen Zeitpunkt tauchten Anwendungen, die mit Geinimi infiziert sind, nur in Anwendungs-Repositorys von Drittanbietern in China auf und können nur per „side loading“ der infizierten Anwendung geladen werden. Geinimi IST im offiziellen Android Market NOCH NICHT aufgetaucht. Tatsächlich wurde Geinimi in Raubkopien von authentischen Apps des Android Market eingeschleust. Die Kopien hat man auseinander genommen, den Geinimi-Code in die App eingepflanzt und dann wieder zusammengebaut.

Zusätzlich zu den durchdachten Funktionen der mit Geinimi infizierten Apps wurden große Anstrengungen unternommen, das schädliche Verhalten sowohl im Geinimi-Code als auch in den Kommunikationsabläufen zu verschleiern und zu verschlüsseln. Um Analyseversuche zu behindern, verschlüsselten die Geinimi-Entwickler bestimmte Code-Zeichenfolgen mit einem schwachen DES-Schlüssel. Glücklicherweise wurde der schwache Schlüssel „12345678“ schnell im Code identifiziert. So konnten wichtige Zeichenfolgen für die Analyse entschlüsselt werden.

Die Kommunikation zwischen den mit Geinimi infizierten Geräten und den Überwachungsservern ist mit derselben Ziffer und demselben DES-Schlüssel wie die verwendeten Zeichenfolgen verschlüsselt. In diesem Szenario versucht Geinimi, ansonsten klare HTTP-Textanfragen zu verschlüsseln, damit der Datenverkehr weniger verdächtig erscheint.

Die folgenden URLs über Port 8080 sind im Geinimi-Code von Interesse:

www.widifu.com

www.udaore.com

www.frijd.com

www.piajesj.com

www.qoewsl.com

www.weolir.com

www.uisoa.com

www.riusdu.com

www.aiucr.com

117.135.134.185

Bei ersten Analysen stellte sich heraus, dass eine Handvoll Anwendungen mit Geinimi infiziert waren. Das Juniper GTC hat mindestens 24 verschiedene Anwendungen identifiziert, die mit Geinimi infiziert waren. Von folgenden Android-Paketen ist bekannt, dass sie mit Geinimi-Code infiziert sind:

com.moonage.iTraining – Als A.Geinimi.01 erkannt

com.sgg.sp – Als A.Geinimi.02 erkannt

com.bitlogik.uconnect – Als A.Geinimi.03 erkannt

com.ubermind.ilightr – Als A.Geinimi.04 erkannt

com.outfit7.talkinghippo – Als A.Geinimi.05 erkannt

com.littlekillerz.legendsarcana – Als A.Geinimi.07 erkannt

com.xlabtech.MonsterTruckRally – Als A.Geimimi.08 erkannt

cmp.LocalService – Als A.Geinimi.09 erkannt

jp.co.kaku.spi.fs1006.Paid – Als A.Geinimi.10 erkannt

com.xlabtech.HardcoreDirtBike – Als A.Geinimi.11 erkannt

cmp.netsentry – Als A.Geinimi.12 erkannt

com.dseffects.MonkeyJump2 – Als A.Geinimi.13 erkannt

com.wuzla.game.ScooterHero_Paid – Als A.Geinimi.14 erkannt

com.masshabit.squibble.free – Als A.Geinimi.15 erkannt

signcomsexgirl1.mm – Als A.Geinimi.16 erkannt

redrabbit.CityDefense –Als A.Geinimi.17 erkannt

com.gamevil.bs2010 – Als A.Geinimi.18 erkannt

com.computertimeco.android.alienspresident – Als A.Geinimi.19 erkannt

com.apostek.SlotMachine.paid – Als A.Geinimi.20 erkannt

sex.sexy – Als A.Geinimi.21 erkannt

com.swampy.sexpos – Als A.Geinimi.22 erkannt

com.ericlie.cg5 – Als A.Geinimi.23 erkannt

chaire1.mm – Als A.Geinimi.24 erkannt

Wie bereits zuvor erwähnt, waren im offiziellen Android Market keine mit Geinimi infizierten Anwendungen zugänglich. Wie bei allen Android-Apps müssen die Benutzer die mit Geinimi infizierten Anwendungen manuell installieren und den angeforderten Berechtigungen zustimmen. Android-Benutzer sind aufgefordert, insbesondere auf das Umfeld jeder einzelnen Anwendung zu achten, wenn es darum geht, Berechtigungen zu erteilen. Dies gilt in erster Linie, wenn Sie Android-Apps von Anwendungs-Repositorys von Drittanbietern „sideloaden“.

GingerMaster

Name GingerMaster
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

GingerMaster ist die erste Android-Schadsoftware, die einen Root Exploit in Android 2.3 (Gingerbread) ausnutzt. Somit unterscheidet sie sich von früheren Android-Malware-Varianten, die mithilfe von Root-Rechten die Funktionen des Geräts bei Android-Versionen 2.2 und früher erweiterten und den Root Exploits zum Durchbruch verhalfen.

GingerMaster folgt dem Trend der Neuverpackung des bösartigen Codes in legitimen Anwendungen. Sobald die mit dem Trojaner infizierte Anwendung installiert ist, trägt sie einen Empfänger ein, damit sie bei erfolgreichem Systemstart benachrichtigt werden kann. Gleichzeitig startet sie einen Dienst im Hintergrund, der Geräteinformationen sammelt, um diese auf einen Remote-Server hochzuladen.

Zusätzlich zur Erfassung dieser Gerätedaten versuchen die mit GingerMaster infizierten Apps, unter Ausnutzung des Root Exploit „GingerBreak“ Root-Rechte zu erlangen, und eine Root Shell in einer System-Partition für spätere Verwendungen zu installieren.

Sobald GingerMaster über Root-Rechte verfügt, versucht er eine Verbindung zu einem entfernten Command-and-Control (C&C)-Server herzustellen. Dort wartet er auf Anweisungen vom Botmaster. GingerMaster kann dann unbemerkt weitere Apps herunterladen und installieren, welche die Funktionen der Malware noch erweitern könnten. Dies erfolgt durch Ausführen des „pm install"-Befehls in der zuvor installierten Root Shell.

GoldDream

Name GoldDream
Kategorie
Veröffentlichungsdatum 04.07.2011
Update-Nummer 1

„GoldDream“ ist eine Android-Schadsoftware, die in einer App namens „Fast Racing“ entdeckt wurde. „Fast Racing“ ist ein Rennspiel, das mit dem im Hintergrund versteckten bösartigen Code scheinbar problemlos funktioniert.

„Fast Racing“ ist in dem Paket mit Namen „com.creativemobi.DragRacing“ erhältlich. Es fordert Berechtigungen an, die normalerweise nicht für den Betrieb eines Spiels dieser Art notwendig sind. Wachsame Benutzer könnten dies als potenziell bösartige Anwendungidentifizieren, besonders wenn folgende Berechtigungen angefragt werden:

- Ihre Nachrichten
- Ihr Standort
- Netzwerkkommunikation
- Speicher
- Kostenpflichtige Dienste
- Telefonanrufe

Bisher haben wir 6 weitere Anwendungen identifiziert, die mit der GoldDream-Malware infiziert sind. Diese Anwendungen finden Sie mit folgenden Paketnamen:

Pure Girls 16 – com.GoldDream.pg03
Pure Girls 16 – com.GoldDream.pg04
Pure Girls 16 – com.GoldDream.pg
Forrest Defender – com.droid.game.forestman
DevilDom Ninja – com.droidstu.game.devilninja
Blood vs Zombie – com.gamelio.DrawSlasher

Die mit der Schadsoftware GoldDream infizierten Android-Anwendungen können alle ein- und ausgehenden SMS-Nachrichten und Anrufe auf dem infizierten mobilen Gerät überwachen. Der Schädling hört die Kommunikation ab und erfasst die zugehörigen Telefonnummern der Nachrichten und Anrufe. Bei SMS-Nachrichten erfasst GoldDream auch den Inhalt der Nachricht und speichert alle erfassten Daten in zwei verschiedenen Textdateien auf dem mobilen Gerät, und zwar so lange, bis der Befehl zum Senden dieser Daten an den Überwachungsserver erfolgt.[redacted]phonecall.txt

[redacted]sms.txt

Nachdem eine Nachricht oder ein Anruf erhalten/gesendet wurde, werden diese Dateien im Ordner /data/data/app_name/files auf dem Gerät erstellt.

Die mit GoldDream infizierten Anwendungen enthalten auch Command-and-Control (C&C)-Funktionen, damit ein Befehlsserver die Schadsoftware zur Durchführung einiger vorkonfigurierter Funktionen anleiten kann. Die Analyse der Schadsoftware ergab, dass der C&C-Server die infizierten Geräte anweisen kann, die folgenden Funktionen durchzuführen:

- Senden von SMS-Nachrichten im Hintergrund
- Tätigen von Anrufen im Hintergrund
- Installieren/Deinstallieren von Anwendungen im Hintergrund
- Hochladen einer Datei an einen entfernten Server

GraySpyware

Name GraySpyware
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

GraySpyware ist eine der ersten nicht kommerziellen Spywares ihrer Art, die man im Android Market gefunden hat. GraySpyware war eine sehr einfache SMS-Spyware, die als Mittel der Überwachung von Textnachrichten eines ahnungslosen Nutzers vermarktet wurde. Sobald GraySpyware installiert ist, gibt sie sich als einfache Android-Browseranwendung aus. Doch sie erfasst alle versandten und empfangenen SMS-Nachrichten und sendet sie an einen entfernten Server zur Überwachung.

HippoSMS

Name HippoSMS
Kategorie
Veröffentlichungsdatum 12.07.2011
Update-Nummer 1

HippoSMS kommt in geknackten Versionen von legitimen Anwendungen vor und zielt auf Anwender in Asien ab. Nach der Installation sendet HippoSMS SMS-Nachrichten an kostenpflichtige Premium-Nummern mit der Ziffer 8 im Nachrichtentext. Die Malware überwacht auch eingehende SMS-Nachrichten und löscht sämtliche eingehenden Nachrichten, die mit der Zahl 10 beginnen.

Jifake

Name Jifake
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

Jifake ist in einem Pre-Download der Instant Messaging-Anwendung JIMM enthalten, die für russische Dienste modifiziert wurde. Der Pre-Download fordert die Endnutzer auf, eine SMS-Nachricht mit dem Inhalt „744155jimm“ an eine Kurzwahlnummer (2476) zu senden, um die Vollversion zu erhalten. Dem Opfer werden die Kosten für die SMS-Nachricht in Rechnung gestellt.

Eine andere Variante von Jifake sendet die SMS-Nachricht an die Kurzwahlnummer 1899. Die SMS hat folgenden Inhalt: 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

KidLogger

Name KidLogger
Kategorie
Veröffentlichungsdatum 29.07.2011
Update-Nummer 1

KidLogger ist eine nicht kommerzielle Spyware für Android-Geräte. Sie ist noch heute im Android Market zu finden und wird wie folgt beschrieben:

Zeichnet Telefon- und Benutzeraktivitäten in einer Protokolldatei auf:
- Zeichnet alle Anrufe auf
- SMS-Text mit Empfängername
- WLAN-Verbindungen
- GSM-Status (Flugmodus, Betreibername usw.)
- SD-Kartennutzung bei USB-Anschluss
- Erfasst alle verwendeten Anwendungen
- Protokolliert die besuchten Websites (nur Standardbrowser)
- Registriert Tastenanschläge auf der Bildschirmtastatur und Text im Zwischenspeicher
- Erfasst auch die Telefonkoordinaten und aufgenommenen Fotos.
- Funktioniert unbemerkt im Hintergrund
- Kennwortgeschützt
- Speichert die Protokolldateien der Benutzeraktivität 5 Tage lang oder lädt sie in das Kidlogger.net-Benutzerkonto hoch. Das Journal der Telefonaktivität können Sie jederzeit online anzeigen.

Starten Sie Ihr Telefon nach der Installation neu, und rufen Sie die Nummer *123456# an, um die KidLogger-App zu öffnen und zu aktivieren.
Wenn Sie keinen Neustart vornehmen möchten, installieren Sie die Eingabemethode „Soft Keyboard PRO“. Nähere Informationen finden Sie in der App „Soft Keyboard PRO“.

KidLogger wird als Spyware bezeichnet, da sich die App vor dem Benutzer verstecken kann. Gewiss bieten Anwendungen dieser Art Eltern einen nützlichen Dienst, wenn sie über die Online- und Mobiltelefon-Aktivitäten ihrer Kinder Bescheid wissen möchten. Andererseits verfügen nicht autorisierte Nutzer damit auch über die Möglichkeit der illegalen Überwachung einer ahnungslosen Person.

Kmin

Name Kmin
Kategorie
Veröffentlichungsdatum 06.03.2012

KMin ist eine bösartige Anwendung, die Android-Geräte angreift. Der Trojaner gibt sich als Android-App namens „KMHome“ aus und versucht, die Gerätekennung, Teilnehmer-ID und die aktuelle Uhrzeit des Geräts zu erfassen, um sie an einen Remote-Server zu senden.

KungFu

Name KungFu
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

Die Android-Malware DroidKungFu findet sich in neuen App-Paketen, die raubkopiert und mit einem Trojaner infiziert wurden. Sie enthalten nun Schadcode für bestimmte Funktionen und können von alternativen Marktplätzen für chinesischsprachige Anwender heruntergeladen werden.

Droid KungFu nutzt die beiden Root Exploits „udev“ und „rageagainstthecage“ für den unbemerkten Root-Zugang auf einem infizierten Gerät. Nach der Installation registriert die infizierte Anwendung einen neuen Dienst und einen neuen Empfänger auf dem Gerät. Der Empfänger wird beim Neustart des Geräts benachrichtigt, und der Dienst kann automatisch im Hintergrund gestartet werden. Der gestartete Dienst entschlüsselt die verschlüsselten Root Exploit Payloads und startet die Exploits mit dem Gerät, um mehr Root-Rechte zu erlangen.

Mit den erhaltenen Root-Rechten erfasst DroidKungFu Geräteinformationen und sendet sie an einen entfernten Server. Folgende Geräteinformationen werden erfasst:

- IMEI-Nummer
- Gerätemodell
- Android-Version

Sobald die Schadsoftware die erforderlichen Informationen für die Registrierung des Geräts auf dem Remote-Server erfasst und übertragen hat, kann DroidKungFu mit den Root-Rechten des Geräts im Hintergrund ein weiteres Paket auf dem Gerät ohne Einwilligung des Benutzers installieren. Die installierte Anwendung „Legacy“ gibt vor, eine legitime Google Search-Anwendung zu sein und weist auch dasselbe Symbol auf. Bei „Legacy“ handelt es sich in Wirklichkeit um eine „Hintertür“ oder Backdoor. Diese stellt die Verbindung zu einem Remote-Server her, um Befehle oder Anweisungen zum weiteren Vorgehen zu erhalten. Im Grunde wird das infizierte Gerät in ein Bot verwandelt.

KungFu.a

Name KungFu.a
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

DroidKungFu2 ist eine Variante der ursprünglichen Malware DroidKungFu, die in raubkopierten, mit Trojanern infizierten Android-Anwendungen enthalten ist. DroidKungFu2 ist mit einigen derselben Funktionen wie ihr Vorgänger ausgestattet und versucht, Teile des in Dalvik (auf Java basierend) geschriebenen Codes zu verschleiern. Stattdessen wird nativer Code verwendet. Außerdem verwendet diese Malware zwei weitere Command-and-Control (C&C)-Domänen, während der Vorgänger nur eine C&C-Domäne nutzt.

Diese Änderungen führen dazu, dass vorhandene Erkennungsmethoden nicht ausreichen und Analysevorgänge verlangsamen. Für Forscherteams wird die Analyse und Identifizierung der Kommunikationswege und anderer Funktionen des Schädlings also schwieriger.

KungFu.b

Name KungFu.b
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

DroidKungFu3 ist die dritte Variante in der Reihe der DroidKungFu-Malware, die Android-Geräte angreift. Wie die Vorgänger kommt DroidKungFu3 in raubkopierten, mit Trojanern infizierten Anwendungen für Android-Geräte vor. DroidKungFu3 geht beim Verschleiern seiner wahren Absichten sogar noch einen Schritt weiter. Während bei DroidKungFu2 zwei zusätzliche Command-and-Control (C&C)-Server genutzt und fest in nativen Code programmiert wurden, verschlüsselt DroidKungFu3 alle drei C&C-Serveradressen, um die Arbeit des Reverse Engineering noch zu erschweren.

Der Hauptzweck von DroidKungFu3 ändert sich durch diese raffinierten Variationen jedoch nicht. Wie die beiden Vorgänger erlangt DroidKungFu3 über einen von zwei Root Exploits die Root-Rechte auf einem infizierten Gerät. Wenn der Trojaner über Root-Rechte verfügt, versucht er, ein eingebettetes APK (Android-Paket) zu installieren, das als gefälschtes Google-Update maskiert ist.

Wurde die eingebettete Anwendung erfolgreich installiert, wird dem Benutzer kein Anwendungssymbol angezeigt. In Wirklichkeit öffnet die installierte Anwendung eine Backdoor zum Gerät, die eine Verbindung zu Remote-Servern herstellt und auf Anweisungen wartet. So wird aus dem Gerät ein effektiver Bot.

LeeCookSpyware

Name LeeCookSpyware
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

LeeCook Spyware ist eine der ersten nicht kommerziellen Spywares ihrer Art, die man im Android Market gefunden hat. LeeCook Spyware war eine sehr einfache SMS-Spyware, die als Mittel der Überwachung von Textnachrichten eines ahnungslosen Benutzers vermarktet wurde. Sobald LeeCook Spyware installiert ist, gibt sie sich als einfache Android-Browseranwendung aus. Doch sie erfasst alle versandten und empfangenen SMS-Nachrichten und sendet sie an einen entfernten Server zur Überwachung.

LoveTrap

Name LoveTrap
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 5

LoveTrap ist ein Android-Trojaner, der SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet. Nach der Installation ruft LoveTrap 0900er- und 0190er-Nummern von einem entfernten Server ab, um SMS-Nachrichten zu senden, die dem Konto des Benutzers des mobilen Geräts belastet werden.

Der Trojaner geht noch einen Schritt weiter: Er blockiert alle eingehenden Bestätigungsmeldungen der kostenpflichtigen Servicenummern und verschleiert so seine Aktivitäten.

MobinautenSMSSpy

Name MobinautenSMSSpy
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

Mobinauten SMS Spy ist im Android Market verfügbar. Laut Beschreibung hilft die Anwendung dem Benutzer, ein verlorenes oder gestohlenes Gerät wiederzufinden. SMS Spy wird als Spyware bezeichnet, da es dem Benutzer verborgen bleibt. Im App-Drawer auf dem Gerät wird auch kein Anwendungssymbol angezeigt. SMS Spy ist in einem Paket namens „de.mobinauten.smsspy“ mit dem Anwendungsnamen „SMS Spy“ enthalten.

Ein Angreifer sendet per SMS Spy einfach eine SMS-Nachricht mit der vorkonfigurierten Frage „How are you???“ an das Gerät, und das gefundene Gerät antwortet dem Absender mit 3 SMS-Nachrichten. Die erste bestätigt den Empfang der Ortungsanfrage. Die zweite sendet als Antwort die GPS-Koordinaten und die Adresse des Geräts. Die dritte enthält eine URL als Link zu Google Maps mit dem Standort des Geräts.

Der Benutzer hat in SMS Spy die Möglichkeit, die eingehende SMS-Nachricht „locate“ zu verbergen. In diesem Fall muss ein neuer Kontakt auf dem Zielgerät unter dem Nachnamen „systemnumber“ erstellt werden. Die Felder für die übrigen Angaben bleiben leer. Beim Erstellen des Kontakts „systemnumber“ auf dem Zielgerät löscht SMS Spy die korrekte Ortungsnachricht und ändert die Nachricht zur Systembenachrichtigung in „Internal Service – SMS Database optimized and compressed“.

SMS Spy könnte bei angemessenem Einsatz sicher als nützliche Anwendung angesehen werden. Da sie dem Benutzer jedoch verborgen bleibt und einem Angreifer die Möglichkeit bietet, die eingehende Ortungsnachricht zu verschleiern, wird sie als Android-Spyware bezeichnet. Der Benutzer soll selbst eine fundierte Entscheidung darüber treffen, ob er die Anwendung auf seinem Gerät belassen möchte.

NickySpy

Name NickySpy
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 5

NickySpy ist ein schädliches Programm, das Android-Geräte angreift. NickySpy ist in einer App namens „Android System Manager“ enthalten, doch sie erfasst lediglich Daten über das Gerät und sendet diese an einen Remote-Server. NickySpy kann die folgenden Daten erfassen: Sprachanrufe, SMS-Nachrichten, GPS-Standortinformationen, IMEI (International Mobile Equipment Identity), IP-Adresse. Die Malware speichert Sprachanrufdaten auf der SD-Karte im Ordner „/sdcard/shangzhou/callrecord“ und erstellt ein Timer-Ereignis, um die Datenerfassung zu initiieren und diese Informationen an den entfernten Server zu senden.

PJApps

Name PJApps
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

PJApps ist normalerweise in Raubkopien von Android-Apps aus dem offiziellen Android Market enthalten, die verändert, mit bösartigem Code ergänzt und dann als legitime Apps an Drittanbieter in chinesischen App Stores weitergeleitet wurden.

Bei Ausführung der Anwendung fordert der Trojaner Berechtigungen für folgende Aktionen an:

- Netzwerk-Sockets öffnen
- Eingehende SMS-Nachrichten senden und überwachen
- Browserverlauf und Bookmarks des Benutzers lesen und verändern
- Pakete installieren
- In einen externen Speicher schreiben
- Telefonstatus (d. h. außer Betrieb, kein Funkverkehr usw.) lesen

Daraufhin wird ein im Hintergrund ablaufender Dienst erstellt. Die Bedrohung (Threat) wird ausgelöst, sooft sich das Empfangssignal des Geräts ändert.

Wird der Dienst gestartet, dann versucht er sich selbst mithilfe der folgenden URL zu registrieren:

http://mobile.meego91.com/mm.do?..[PARAMETERS]

Hinweis: [PARAMETERS] ist eine Variable, die folgende Geräteinformationen enthält:

- IMEI
- Geräte-ID
- Telefonnummer
- Teilnehmer-ID
- SIM-Seriennummer

Der Threat kann eine Nachricht mit der IMEI-Nummer des infizierten Geräts an eine Mobilfunknummer senden, die von den Angreifern kontrolliert wird. Die Mobilfunknummer, an die diese Nachricht gesendet wird, wird von folgender URL abgerufen:

http://log.meego91.com:9033/android.log?[PARAMETERS]

Der Threat lädt die Befehle von folgender Adresse herunter:

http://xml.meego91.com:8118/push/newandroidxml/…

Die Befehle sind in einer .xml-Datei eingeschlossen. Es geht um folgende Befehle:
Note: Dieser Befehl soll höchstwahrscheinlich Textnachrichten an kostenpflichtige Servicenummern versenden. Sie müssen eine Mobilfunknummer und einen Inhalt angeben und können dann zwei zusätzliche Aktionen ausführen:

blacklisting – Falls angegeben, wird die Mobilfunknummer an einen entfernten Server gesendet, um zu prüfen, ob sie in der schwarzen Liste aufgeführt ist. In diesem Fall wird die Nachricht nicht gesendet. Die Service-URL muss als Parameter an den Befehl gesendet werden, damit die Blacklist-Überprüfung durchgeführt und eine Anfrage im folgenden Format ausgegeben wird:
($blacklist_url) + “/?tel=” + Mobilnummer

response blocking – Android.Pjapps hört eingehende Nachrichten ab. So können im note-Befehl Regeln zur Nichtbeachtung eingehender Nachrichten angegeben werden. Wenn also bestimmte Bedingungen erfüllt sind, liest der Benutzer die Nachrichten nicht. Zu den unterstützten Filtern gehören Zeichenfolgen für Nachrichtenbeginn und -ende.

push – Dieser Befehl führt SMS-Spamming aus und erfordert die folgenden Parameter:

– Inhalt der Textnachricht
– Eine URL, die am Ende des Nachrichteninhalts hinzugefügt wird.
– Mobilfunknummern, an die der Text gesendet werden soll. Sie sind durch „#“ voneinander getrennt.

soft – Mit diesem Befehl werden Pakete auf dem infizierten Gerät installiert. Die Pakete werden von einer entfernten URL heruntergeladen, die als Parameter zusammen mit dem Befehl gesendet wird.

window – Mit diesem Befehl navigiert das Mobiltelefon zu einer vorgegebenen Website. Android.Pjapps nutzt Browser nach einer gewissen Präferenz und prüft, ob folgende Browser verfügbar sind:

com.uc.browser
com.tencent.mtt
com.opera.mini.android
mobi.mgeek.TunnyBrowser
com.skyfire.browser
com.kolbysoft.steel
com.android.browser
android.paojiao.cn
ct2.paojiao.cn
g3g3.cn

mark – Mit diesem Befehl werden dem infizierten Gerät Bookmarks hinzugefügt. Beim ersten Start des Services kann Android.Pjapps standardmäßig auch die folgenden Bookmarks auf dem Gerät hinzufügen:

xbox – Dieser Befehl wurde in Android.Pjapps beim Analysieren von Code beobachtet, doch er scheint nicht implementiert zu sein.

PirateText

Name PirateText
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

PirateText ist eine manipulierte Version der äußerst beliebten Android-App namens „Walk and Text“. Die offiziellen Entwickler von „Walk and Text“ veröffentlichten eine neue Version ihrer Anwendung im Android Market. Schon innerhalb weniger Stunden wurde sie raubkopiert und enthielt bösartigen Code im Paket. Dann wurde sie als legitime Version in App Stores von Drittanbietern neu verteilt.

Bei der vom Android Market raubkopierten Version handelte es sich um Version 1.3.6. Die aktuelle Market-Version ist 1.5.3. Die manipulierte Version mit dem Schadcode ist Version 1.3.7. Soweit wir das beurteilen können, ist Version 1.3.7 kein offizielles Update der von Incorporate Apps vertriebenen legitimen Anwendung. Es sieht so aus, als sei die vorhandene Version 1.3.7 in Wirklichkeit Version 1.3.6 mit eingepflanztem Schadcode. Diese wurde anschließend mit einem anderen selbst signierten Zertifikat als das von Incorporate Apps verwendete unterzeichnet. Dies ist ein klares Anzeichen dafür, dass diese App von anderen Personen neu gepackt wurde, da sie keinen Zugang zum legitimen Zertifikat des ursprünglichen Entwicklers hatten.

Die bösartige Anwendung „Walk and Text v1.3.7“ funktioniert für den Benutzer offenbar normal. Im Hintergrund sendet sie jedoch an alle im Gerät gespeicherten Kontakte eine SMS-Nachricht mit folgendem Inhalt:

„Hey, just downloaded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck.Don\’t steal like I did!“

„Walk and Text v1.3.7“ macht also nichts anderes, als eine ärgerliche SMS-Nachricht an die Kontakte des Geräts zu senden. Aus der Art der versandten SMS-Nachricht lässt sich schließen, dass jemand Wert auf die Feststellung legt, dass das Herunterladen von raubkopierten Anwendungen unethisch ist. Allerdings ist die angewandte Methode gleichermaßen unethisch.

Plankton

Name Plankton
Kategorie
Veröffentlichungsdatum 07.06.2011
Update-Nummer 1

Plankton ist eine Malware, die auf Android abzielt und als raubkopierte trojanisierte Anwendung erhältlich ist. Plankton wurde erstmals von Forschern der North Carolina State University entdeckt. Sie fanden heraus, dass die mit Plankton infizierten Apps eine Dalvik-Ladefunktion ausnutzen, die versteckt auf einem Android-Gerät läuft.

Sobald eine infizierte App auf das mobile Gerät geladen wird, fügt die Schadsoftware einen Hintergrunddienst hinzu, der sich selbst bei Ausführung der Anwendung initiiert. Dieser Hintergrunddienst ist in der Lage, Erkennungsangaben wie IMEI von infizierten Android-Geräten zu erfassen. Er erfasst auch alle von der Hostanwendung angeforderten Berechtigungen und sendet sie an einen Remote-Server.

Nach Empfang dieser Informationen sendet der Server eine URL, auf die der Schadcode auf dem Gerät zugreifen soll, um eine .jar-Datei abzurufen. Diese lädt sich automatisch selbst und ermöglicht Botnetz-Funktionen auf dem infizierten Android-Gerät. Die heruntergeladene .jar-Datei ruft dann Informationen wie Browserverlauf und Bookmarks ab, macht einen Auszug des Geräte-adb-Protokolls und kann die auf dem Gerät gespeicherten Kontoanmeldedaten erfassen.

SMSBomber

Name SMSBomber
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

SMSBomber ist eine einfache SMS-Bomber-Anwendung, die für Android-Geräte entwickelt wurde. Sie überschwemmt ein Android-Gerät mit so vielen SMS-Nachrichten, dass die Empfänger so gut wie keine SMS-Nachrichten mehr senden und empfangen können.

SMSReplicator

Name SMSReplicator
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

SMS Replicator kommt in zwei Versionen vor. Die tückische Version hat den Namen „Secret SMS Replicators“, und die harmlosere Version heißt „SMS Replicator“. Beide Anwendungen wurden von DLP Mobile für den Android Market entwickelt und veröffentlicht. Normalerweise erstellt DLP Mobile jedoch nur Anwendungen für das iPhone. Mit beiden Versionen von SMS Replicator können Angreifer die Anwendung so konfigurieren, dass SMS-Nachrichten von und zum infizierten Gerät an ein Smartphone ihrer Wahl zu Überwachungszwecken weitergeleitet werden. Der einzige Unterschied zwischen beiden Anwendungen besteht darin, dass „Secret SMS Replicator“ vom Benutzer nicht erkannt wird, da es kein Symbol oder keine zugängliche Benutzeroberfläche gibt. Es müsste eine speziell dafür erstellte SMS-Nachricht an das infizierte Gerät gesendet werden. Beide Versionen sehen innerhalb der Anwendungsoberfläche exakt gleich aus.

Beide Versionen der SMS Replicator-Anwendung wurden im Android Market veröffentlicht. „Secret SMS Replicator“ wurde jedoch vom Markt zurückgenommen, da die Version gegen die Nutzungsbedingungen des Markts verstößt. Sie vermarktet sich explizit als Spyware, die potenziell die Privatsphäre eines ahnungslosen Benutzer verletzen kann. „Secret SMS Replicator“ kann noch immer von anderen Quellen außerhalb des Android Market käuflich erworben werden.

„Secret SMS Replicator“ ist unter folgendem Paketnamen erhältlich:

com.dlp.SMSReplicatorSecret

„SMS Replicator“ ist unter folgendem Namen zu finden:

com.dlp.SMSReplicator

Beide Anwendungen fordern die folgenden Android-Berechtigungen bei der Installation:

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

Bei beiden Varianten von SMS Replicator muss ein Angreifer physischen Zugang zum Zielgerät haben, um die Spyware zu installieren.

SMSReplicatorSecret

Name SMSReplicatorSecret
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

SMS Replicator kommt in zwei Versionen vor. Die tückische Version hat den Namen „Secret SMS Replicators“, und die harmlosere Version heißt „SMS Replicator“. Beide Anwendungen wurden von DLP Mobile für den Android Market entwickelt und veröffentlicht. Normalerweise erstellt DLP Mobile jedoch nur Anwendungen für das iPhone. Mit beiden Versionen von SMS Replicator können Angreifer die Anwendung so konfigurieren, dass SMS-Nachrichten von und zum infizierten Gerät an ein Smartphone ihrer Wahl zu Überwachungszwecken weitergeleitet werden. Der einzige Unterschied zwischen beiden Anwendungen besteht darin, dass „Secret SMS Replicator“ vom Benutzer nicht erkannt wird, da es kein Symbol oder keine zugängliche Benutzeroberfläche gibt. Es müsste eine speziell dafür erstellte SMS-Nachricht an das infizierte Gerät gesendet werden. Beide Versionen sehen innerhalb der Anwendungsoberfläche exakt gleich aus.

Beide Versionen der SMS Replicator-Anwendung wurden im Android Market veröffentlicht. „Secret SMS Replicator“ wurde jedoch vom Markt zurückgenommen, da die Version gegen die Nutzungsbedingungen des Markts verstößt. Sie vermarktet sich explizit als Spyware, die potenziell die Privatsphäre eines ahnungslosen Benutzer verletzen kann. „Secret SMS Replicator“ kann noch immer von anderen Quellen außerhalb des Android Market käuflich erworben werden.

„Secret SMS Replicator“ ist unter folgendem Paketnamen erhältlich:

com.dlp.SMSReplicatorSecret

„SMS Replicator“ ist unter folgendem Namen zu finden:

com.dlp.SMSReplicator

Beide Anwendungen fordern die folgenden Android-Berechtigungen bei der Installation:

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

Bei beiden Varianten von SMS Replicator muss ein Angreifer physischen Zugang zum Zielgerät haben, um die Spyware zu installieren.

SMSSpyFree

Name SMSSpyFree
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

SMS Spy Free ist eine Testversion der kostenpflichtigen App SMS Spy Pro. SMS Spy Free erfasst SMS-Nachrichten und schickt sie unbemerkt per E-Mail an eine vorkonfigurierte E-Mail-Adresse mit der Absicht, die Kommunikation eines nichtsahnenden Benutzers auszuspionieren. SMS Spy Free tarnt sich als „Trinkgeld-Rechner“ und ist im offiziellen Android Market erhältlich.

Da SMS Spy Free durch die Tarnung als „Trinkgeld-Rechner“ sich selbst und seine Absichten bewusst im Verborgenen hält, bietet es einem unbefugten Benutzer die Gelegenheit, die Kommunikation anderer ahnungsloser Benutzer auszuspionieren. Deshalb wird sie als nicht kommerzielle Spyware eingestuft.

SMSSpyPro

Name SMSSpyPro
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

SMS Spy Pro ist eine nicht kommerzielle Spionagesoftware, die auf Android-Geräte abzielt. Sie erfasst SMS-Nachrichten und sendet sie unbemerkt per E-Mail an eine vorkonfigurierte E-Mail-Adresse mit der Absicht, die Kommunikation eines nichtsahnenden Benutzers auszuspionieren. SMS Spy Pro tarnt sich als „Trinkgeld-Rechner“ und ist im offiziellen Android Market erhältlich.

Da SMS Spy Pro durch die Tarnung als „Trinkgeld-Rechner“ sich selbst und seine Absichten bewusst im Verborgenen hält, bietet es einem unbefugten Benutzer die Gelegenheit, die Kommunikation anderer ahnungsloser Benutzer auszuspionieren. Deshalb wird sie als nicht kommerzielle Spyware eingestuft.

SkypwnedPOC

Name SkypwnedPOC
Kategorie
Veröffentlichungsdatum 15.04.2011
Update-Nummer 1

Skypwned ist eine Proof-of-Concept (PoC)-Anwendung, die extra entwickelt wurde, um die mögliche Ausnutzung einer Sicherheitslücke in Skype für Android zu verdeutlichen. Skypwned PoC ist keine offenkundig bösartige Anwendung, doch sollte sie vom Gerät entfernt werden, falls sie entdeckt wird.

SndApps

Name SndApps
Kategorie
Veröffentlichungsdatum 18.07.2011
Update-Nummer 1

Bei SndApps handelt es sich um einen Android-Schadcode in Anwendungen, die dem Anschein nach Spiele für Android-Geräte sind. SndApps greift auf verschiedene Arten von Geräteerkennungsdaten zu und leitet sie an einen entfernten Server weiter. Es werden folgende Informationen ermittelt und übertragen:

- Carrier/Service Provider
- Ländercode
- Geräte-ID/IMEI-Nummer
- E-Mail-Adressen im Zusammenhang mit dem Gerät
- Telefonnummer

Die mit SndApps infizierten Anwendungen scheinen nicht von seriösen Entwicklern neu gepackt worden zu sein. Es sieht so aus, als hätten die gleichen Entwickler, die die Originalanwendungen erstellt haben, zu einem späteren Zeitpunkt bösartigen Code in nachfolgende Versionen der Apps eingefügt. Diese Apps wurden zuerst im offiziellen Android Market entdeckt, sind aber jetzt nicht mehr zugänglich.

SpyEye

Name SpyEye
Kategorie
Veröffentlichungsdatum 28.09.2011
Update-Nummer 39

SPITMO/SpyEye ist eine Android-Schadsoftware, die sich gegen Benutzer richtet, deren PC mit der PC-Malware SpyEye infiziert ist. Wenn der Benutzer eines infizierten PC zur Online-Banking-Website navigiert, kann SpyEye zusätzliche Inhalte auf die Bankseiten einschleusen. Der Benutzer soll glauben, die Bank frage nach seiner Handynummer, um die Zwei-Faktor-Authentifizierung mithilfe von mTANs zu erleichtern. Die Bank sendet eine nur einmalig verwendbare Transaktionsnummer, die mTAN, an das mobile Gerät des Benutzers, die er zur Authentifizierung für Transaktionen im Online-Banking auf der Bankseite eingibt.

Nachdem SpyEye die Mobiltelefonnummer des Benutzers abgerufen hat, wird er über eingeschleusten Inhalt aufgefordert, ein notwendiges „Zertifikat“ herunterzuladen. Angeblich können nur damit mTAN-Authentifizierungen entsprechend auf dem Gerät verifiziert werden. In Wirklichkeit gibt der Benutzer aber SpyEye seine Handynummer bekannt und wird nun auf betrügerische Weise zur Installation der mobilen Spyware-App „SpyEye“ verleitet. Diese überwacht und erfasst die vom Geldinstitut verschickten mTANs.

SpyEye ist so konfiguriert, dass es diese mTAN-Nummern, die per SMS auf dem Gerät ankommen, erkennt. Sie werden dann an den von Angreifern kontrollierten Server eines Drittanbieters gesendet. So erhalten diese Zugriff auf die Online-Banking-Website des Opfers.

TapSnake-GPSSpy

Name TapSnake-GPSSpy
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

Für GPS Spy sind zwei separate Anwendungen erforderlich, damit die Spionagefunktionen richtig funktionieren. Der Angreifer lädt auf dem Gerät des betroffenen Benutzers das Spiel „Tap Snake“ entweder vom Android Market oder per ADB herunter und installiert es auf dem Gerät. Bei der ersten Ausführung des Spiels „Tap Snake“ nach der Installation erhält der Angreifer die erforderliche Konfigurationsschnittstelle, damit er die entsprechenden Anmeldeinformationen für den Zugriff auf GPS-Positionsdaten einrichten kann. Diese werden alle 15 Minuten an einen entfernten Webserver gesendet. Jede nachfolgende Ausführung der Anwendung „Tap Snake“ sieht ganz genau so aus wie das „Schlangenspiel“ und verhält sich auch so. Der Spieler weiß allerdings nicht, dass die Anwendung seine derzeitige Position alle 15 Minuten erfasst und überträgt. Detaillierte Informationen zum Spiel „Tap Snake“ finden Sie hier

Auf dem eigenen Gerät lädt der Angreifer einfach nur die Anwendung „GPS Spy“ herunter und installiert sie. Wird nun die installierte App „GPS Spy“ ausgeführt, kann sich die Anwendung nach Eingabe der entsprechenden Anmeldeinformationen mit den Positionsservern synchronisieren. Der Angreifer kann die Bewegungen des Geräts seines Opfers über einen Zeitraum von 24 Stunden verfolgen. Die Anwendung „GPS Spy“ kostet 4,99 USD. Detaillierte Informationen zur Anwendung „GPS Spy“ finden Sie hier

Trojan-SMS.AndroidOS.FakeInst.a1

Name Trojan-SMS.AndroidOS.FakeInst.a1
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

Android.FakeInst ist ein SMS-Trojaner, der SMS-Nachrichten an kostspielige Premium-Nummern sendet. Er erfasst auch Geräteinformationen und überträgt sie an einen entfernten Server. Offenbar ist die App in Stores von Drittanbietern erhältlich. Dieser Trojaner informiert den Benutzer darüber, dass drei kostenpflichtige Textnachrichten an einen Premium-Dienst versandt werden müssen, um eine Anwendung herunterzuladen. Im offiziellen Android Market und in anderen App Stores ist diese Anwendung meist gratis verfügbar.

Trojan-SMS.AndroidOS.Opfake-1

Name Trojan-SMS.AndroidOS.Opfake-1
Kategorie
Veröffentlichungsdatum 25.01.2012
Update-Nummer 47

Trojan-SMS.AndroidOS.Opfake ist ein SMS-Trojaner, der auf Android-Geräte abzielt. Er sendet SMS-Nachrichten an teure Premium-Nummern. Darüber hinaus erfasst er Geräteinformationen und sendet sie an einen entfernten Server.

Bei der Installation wird eine Meldung angezeigt, die dem Nutzer mitteilt, dass er zur Aktivierung des Produkts SMS-Nachrichten versenden muss. Durch Klicken auf „Zustimmen“ wird eine SMS-Nachricht an die Nummer „5537“ gesendet.

Dann erfasst und übermittelt der Trojaner die folgenden Informationen:

- Geräte-IMEI
- Paketname
- Telefonnummer
- SmartPhone-Modell

Weatherfist

Name Weatherfist
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

Weatherfist war eine Proof-of-Concept-Anwendung, die als Teil der MOBOTS-Präsentation auf der Sicherheitskonferenz RSA im Jahr 2010 entwickelt wurde. Forscher wollten ermitteln, ob die typischen „Phone Home“-Merkmale eines mit Botnet infizierten Geräts auf Android- und iPhone-Plattformen funktionieren können. Dazu erstellten die Forscher eine „Wetter“-App. Anstelle von Postleitzahlen des Aufenthaltsorts wurde die GPS-Position des Geräts an die „Wetter“-Server zurück gesendet. Dieser Test veranschaulichte, dass Anwendungen auf Android- und iPhone-Plattformen sehr wohl mit Drittanbieter-Servern kommunizieren können. Man ging davon aus, dass die Benutzer entweder die entsprechende Berechtigung dazu erteilen, oder der Code wurde einfach am Überprüfungsprozess des App Store vorbeigeschleust. Der Proof-of-Concept (PoC) brachte fast 700 Android-Downloads und 7.700 iPhone-Downloads der App zu Tage. Die öffentlich verteilten PoC-Anwendungen erfassten keinerlei persönliche Daten und ermöglichten weder Fernzugriff noch Command-and-Control-Funktionen, wie sonst bei Botnets üblich. Das Forscherteam programmierte jedoch eine weitere Anwendung namens „WeatherFistBadMonkey“. Diese wurde nie öffentlich freigegeben, denn sie enthielt dieselben Command-and-Control-Funktionalitäten wie jeder andere Botnet auch. Nochmals, diese Version des Proof-of-Concept wurde nie in der Öffentlichkeit verbreitet. WeatherFist war jedenfalls kein Trojaner und auch keine Backdoor-Anwendung. Sie konnte mit normalen Mitteln einfach wieder vom Gerät entfernt werden.

YZHCSMS

Name YZHCSMS
Kategorie
Veröffentlichungsdatum 06.06.2011
Update-Nummer 1

YZHCSMS ist ein Android-Trojaner, der im Paket „com.ppxiu“ des Entwicklers „Gengine“ enthalten ist. Die Anwendung scheint nicht mehr im Android Market verfügbar zu sein, wird aber noch über Web Stores von Drittanbietern in Asien angeboten. Die Malware namens „YZHCSMS“ zielt wohl nur auf asiatische Märkte ab. Zunächst versucht sie, eine Offline-Website zu erreichen, um eine Liste mit Premium-Nummern (eine Kurzwahlnummer, an die Sie SMS-Nachrichten senden, wie beispielsweise zur Stimmabgabe für „Deutschland sucht den Superstar“) abzurufen. Dann versendet sie SMS-Nachrichten, die alle mit der Zeichenfolge „YZHC“ beginnen.

Die vom Webserver abgerufenen Premium-Nummern werden mit einer Liste fest programmierter Nummern kombiniert. Dann sendet „YZHCSMS“ alle 50 Minuten eine SMS oder Textnachricht an den Zielserver, die den Benutzer bei jeder Nachricht je nach Tarif teuer zu stehen kommt. Der SMS-Trojaner läuft als Hintergrunddienst und wird entweder bei Einschalten des Geräts oder bei Ausführung der infizierten Anwendung angestoßen.

YZHCSMS funktioniert nicht nur als Hintergrunddienst; der Trojaner verschleiert auch seine wahre Natur, indem er alle gesendeten SMS-Nachrichten und ebenso ankommende Rechnungen oder Bestätigungsmeldungen auf die soeben versandte SMS löscht.

Einige Varianten dieses SMS-Trojaners löschen nur Nachrichten im Zusammenhang mit den im Schadcode fest programmierten Nummern. Andere dagegen versuchen, Nachrichten mit Bezug auf die vom Offline-Server abgerufenen Nummern zu löschen.

Unsere Analysen bei mindestens einer Variante ergaben, dass die folgenden Nummern in verschiedenen Varianten von „YZHCSMS“ fest programmiert sind:

1000
10000
10086
100086
123456
617915
19000101
19860102
19861119
91316005
91316007
101011101
12345678911
1065800885566
052714034192100013309
1240000089393100527140341001

Die folgenden Nummern sind in der „mmssender“-Klasse vorhanden:

052714034192100013309
10086
1240000089393100527140341001

Mindestens eine Variante fängt Nachrichten mit Bezug auf die folgenden fest programmierten Nummern über die „SMSObserver“-Klasse ab:

10086
1065800885566
Zum jetzigen Zeitpunkt ist unklar, ob diese Premium-Nummern auch außerhalb der asiatischen Märkte funktionieren. Laut Angaben des Android Market wurden diese Anwendungen schätzungsweise nur 500 Mal heruntergeladen.

ZSoneSMSTrojan-1

Name ZSoneSMSTrojan-1
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

Der SMS-Trojaner ZSone ist in einer Reihe von raubkopierten, trojanisierten Apps versteckt und zielt auf Android-Geräte ab. Ein Entwickler veröffentlichte unter dem Namen „Zsone“ 13 dieser Anwendungen, von denen manche per SMS-Kommunikation das Gerät des nichtsahnenden Benutzers in böswilliger Absicht bei Premium-Diensten in China anmelden.

Von 11 der 13 untersuchten Apps ist diese Vorgehensweise bekannt. Sie registrieren das Gerät bei verschiedenen kostenpflichtigen Premium-Nummern. Betroffene Benutzer dieser bösartigen Apps in China stellen Gebühren für nicht angeforderte Dienste in ihrem Benutzerkonto fest, da ihr Gerät bei den Premium-Diensten angemeldet wurde.

Zu den vom Entwickler „Zsone“ als bösartig identifizierten Anwendungen gehören folgende:

LoveBaby
iBook
iCartoon
Sea Ball
iCalendar
3D Cube horror terriblei
ShakeBanger
iMatch 对对碰
Shake Break
iSMS
iMine

Die oben aufgeführten Anwendungen kommunizieren bekanntermaßen mit folgenden Premium-Nummern, die jedoch NUR in Mobilfunknetzen in China funktionieren:

10086
1066185829
10000
10010
1066133
10655133
10621900
10626213
106691819
10665123085
10621900

In vielen Fällen enthalten die versandten SMS-Nachrichten einen bestimmten Code im Nachrichtentext, der die Anmeldung des Geräts für den Premium-Dienst ermöglicht. Dazu gehören:

M6307AHD
aAHD
95pAHD
58#28AHD
YXX1
921X1

Wie bereits erwähnt, gibt es die Premium-Dienste, die von diesen bösartigen Anwendungen für Mobilfunkkonten abonniert werden sollen, NUR innerhalb der chinesischen Mobilfunknetze. Benutzern außerhalb der chinesischen Netzwerke werden keine Gebühren auf ihrem Konto in Rechnung gestellt, die aufgrund irgendwelcher vom infizierten Gerät versandten Nachrichten entstehen könnten.

Zitmo_Android

Name Zitmo_Android
Kategorie
Veröffentlichungsdatum 08.07.2011
Update-Nummer 1

SPITMO/SpyEye ist eine Android-Schadsoftware, die sich gegen Benutzer richtet, deren PC mit der PC-Malware SpyEye infiziert ist. Wenn der Benutzer eines infizierten PC zur Online-Banking-Website navigiert, kann SpyEye zusätzliche Inhalte auf die Bankseiten einschleusen. Der Benutzer soll glauben, die Bank frage nach seiner Handynummer, um die Zwei-Faktor-Authentifizierung mithilfe von mTANs zu erleichtern. Die Bank sendet eine nur einmalig verwendbare Transaktionsnummer, die mTAN, an das mobile Gerät des Benutzers, die er zur Authentifizierung für Transaktionen im Online-Banking auf der Bankseite eingibt.

Nachdem SpyEye die Mobiltelefonnummer des Benutzers abgerufen hat, wird er über eingeschleusten Inhalt aufgefordert, ein notwendiges „Zertifikat“ herunterzuladen. Angeblich können nur damit mTAN-Authentifizierungen entsprechend auf dem Gerät verifiziert werden. In Wirklichkeit gibt der Benutzer aber SpyEye seine Handynummer bekannt und wird nun auf betrügerische Weise zur Installation der mobilen Spyware-App „SpyEye“ verleitet. Diese überwacht und erfasst die vom Geldinstitut verschickten mTANs.

SpyEye ist so konfiguriert, dass es diese mTAN-Nummern, die per SMS auf dem Gerät ankommen, erkennt. Sie werden dann an den von Angreifern kontrollierten Server eines Drittanbieters gesendet. So erhalten diese Zugriff auf die Online-Banking-Website des Opfers.

com.blitzforce.massada

Name com.blitzforce.massada
Kategorie
Veröffentlichungsdatum 01.04.2011
Update-Nummer 1

„com.blitzforce.massada“ ist der Name eines Proof-of-Concept (PoC)-Malware-Pakets der Blitz Force Massada Group der University of Electronic Science and Technology of China, das Android-Geräte im Visier hat. Als PoC richtet com.blitzforce.massada keinen ersichtlichen Schaden an, es zeigt vielmehr ein Sicherheitsproblem durch potenzielle Malware auf.

Com.blitzforce.massada nutzt viele verschiedene Angriffe, um folgende Sicherheitslücken zu verdeutlichen:

- Eingehende Anrufe werden ohne Benutzereingriffe akzeptiert
- Das Telefon beendet Anrufe ohne Benutzereingriff
- Das Funkmodul des Geräts wird ausgeschaltet, um ein- oder ausgehende Anrufe zu verhindern
- Es werden vertrauliche Gerätedaten erfasst, um sie an Remote-Server zu senden

BLACKBERRY

B.Flexyspy.BB

Name B.Flexyspy.BB
Kategorie
Veröffentlichungsdatum 23.04.2009
Update-Nummer 1

Flexispy ist ein im Einzelhandel erhältliches Spionageprogramm. Es wird von jemandem installiert, der physischen Zugang zum Gerät hat. Einmal auf dem Gerät installiert, wird der irreführende Name einer installierten App angezeigt, im App-Menü ist das Programm jedoch nicht zu sehen.
Es kann SMS-Nachrichten, Anrufdaten und andere vertrauliche Daten an einen Server übertragen, der von einem Spion überwacht wird.
Manche Versionen können Gespräche in einem Raum an den Spion durchsickern lassen.

J2ME

J.Etisalat.A.un

Name J.Etisalat.A.un
Kategorie
Veröffentlichungsdatum 15.07.2009
Update-Nummer 1

Etisalat.A[MA] ist eine Spionageanwendung, die per WAP-Push auf mobile Gerät von BlackBerry-Kunden im Etisalat-Netz der Vereinigten Arabischen Emirate (VAE) gelangt. Sie wird als freigegebenes Patch zur Leistungsverbesserung angekündigt und soll angeblich die seit ein paar Wochen auftretenden Netzwerkprobleme beheben. Die wahre Absicht der Spyware ist das Abfangen von E-Mail-Nachrichten der BlackBerry-Nutzer und deren Weiterleitung an einen Überwacher im Etisalat-Netzwerk. Der Patch wurde in Form von .jar- und .cod-Dateien geliefert. Die .jar-Datei enthält die folgenden Klassen:

 

META-INF/
META-INF/MANIFEST.MF
Registration.cod
Registration.csl
Registration.cso
com/
com/ss8/
com/ss8/interceptor
com/ss8/interceptor/app/
com/ss8/interceptor/app/Commands.class
com/ss8/interceptor/app/Constants.class
com/ss8/interceptor/app/Log.class
com/ss8/interceptor/app/Main$1.class
com/ss8/interceptor/app/Main.class
com/ss8/interceptor/app/MsgOut.class
com/ss8/interceptor/app/Recv.class
com/ss8/interceptor/app/Send.class
com/ss8/interceptor/app/StatusChange.class<
com/ss8/interceptor/app/Transmit.class
com/ss8/interceptor/tcp/
com/ss8/interceptor/tcp/HTTPDeliver.class
com/ss8/interceptor/tcp/smtp/
com/ss8/interceptor/tcp/smtp/SMTPHeader.class
com/ss8/interceptor/tcp/SocketBase.class
Interceptor.class

Durch diese Klassen kann sich die Anwendung in Ordner-Updates, Nachrichtenspeicher, ausgehende Nachrichten und Funkereignisse einklinken:
-Die Klasse Recv.class ermöglicht der Anwendung die Überwachung eingehender Nachrichten durch Implementierung von net.rim.blackberry.api.mail.event.FolderListener und net.rim.blackberry.api.mail.event.StoreListener.

- Die Klasse Send.class ermöglicht der Anwendung die Überwachung ausgehender Nachrichten, obwohl sie lediglich zur späteren Weiterleitung der Nachrichten durch Implementierung von net.rim.blackberry.api.mail.event.FolderListener und net.rim.blackberry.api.mail.SendListener verwendet wird.

- Die Klasse StatusChange.class ermöglicht der Anwendung die Überwachung von Funkereignissen wie beispielsweise der Wechsel in ein anderes Netz. Bei bestimmten Netzwechselaktivitäten entfernt sie den Recv-Listener und meldet ihn neu an.

 

Version: 4.91
Copyright-Info
Uhrzeit und Datum
PIN-Nummer
Telefonnummer
IMEI
IMSI
Seriennummer:
Name des Geräts:
Gerätehersteller
Plattform-Version
Grund: Entweder „Service change“ oder „Network Started“
Status: Ob das Gerät in Betrieb oder ausgeschaltet ist.

Diese Befehle sind in Commands.java verfügbar, das den MsgOut-Konstruktor abruft und die Nachricht an MsgOut.java weitergibt. An den Registrierungsserver wird eine weitere Meldung mit folgenden Informationen gesendet:

Version: 4.91
Uhrzeit und Datum

Nach der Registrierung bleibt die Anwendung so lange inaktiv, bis ein „start“-Befehl vom Überwacher empfangen wird. Diese Befehls-E-Mail wird sofort gelöscht. Es gibt vier mögliche verschlüsselte Befehle (version, bCkp, start, stop).

Nach ihrer Aktivierung fängt die Anwendung E-Mail-Nachrichten ab. Bei Empfang einer Nachricht prüft die Recv-Klasse, ob einer der 4 möglichen eingebetteten Befehle vorkommt. Ist dies nicht der Fall, wird die Nachricht UTF-8-codiert, mit GZIP komprimiert und mit dem statischen Schlüssel „EtisalatIsAProviderForBlackBerry“ AES-verschlüsselt. Anschließend codiert Base64 alles. Die Nachricht wird dann über einen HTTP Post an http://10.116.3.99:7095/bbupgr weitergeleitet. Die folgenden Informationen sind in der Nachricht an den Überwacher enthalten:

Betreff
Inhalt der Nachricht
Absender
Empfänger

Man nimmt an, dass der empfangende HTTP-Server dann eine E-Mail erstellt und die erhaltenen Informationen an die folgenden E-Mail-Adressen weiterleitet:
regbb@etisalat.ae
etisalat_upgr@etisalat.ae

 

 

SYMB-3

S.Album.a

Name S.Album.a
Kategorie
Veröffentlichungsdatum 20.07.2010
Update-Nummer 1

Album kommt als Link in SMS-Nachrichten vor. Damit wird eine schädliche SISX-Datei heruntergeladen, die weitere SMS-Nachrichten sendet. Varianten dieser Malware-Familie sind Symbian-signiert, und die Signatur-Zertifikate wurden von Shenzhen ZhongXunTianCheng Technology ausgegeben.

Diese Schadsoftware erfasst Telefonnummern auf dem Gerät. An diese werden weitere Spam-Nachrichten versandt, sodass sie sich immer weiter vermehren. Im Unterschied zu dem ähnlichen Trojaner Yxes versendet Album die SMS-Nachrichten mithilfe einer Drittanbieter-Bibliothek. Auf diese Weise werden die SMS-Nachrichten nicht im Ordner „Gesendete Nachrichten“ des Benutzers aufgeführt. Die Nachrichten können die Akkulaufzeit verkürzen und SMS-Gebühren zur Folge haben.

Der Trojaner erfasst auch Geräteinformationen und sendet sie an einen entfernten Server.

Um eine Deinstallation zu verhindern, deaktiviert er bestimmte Programme auf dem Gerät, insbesondere den Anwendungsmanager.

Benutzer stellten Folgendes fest: Beginnt man eine Neuinstallation der infizierten SISX-Datei, wird der laufende Prozess beendet (die App kann also überschrieben werden), und der Zugriff auf den Anwendungsmanager wäre wieder möglich. Allerdings muss die Neuinstallation zum richtigen Zeitpunkt abgeschlossen sein.

S.EicarSymb

Name S.EicarSymb
Kategorie
Veröffentlichungsdatum 01.11.2011
Update-Nummer 37

EICAR-ANTIVIRUS-TESTDATEI
DIES IST KEINE SCHÄDLICHE ANWENDUNG. SIE RICHTET AUF IHREM GERÄT KEINERLEI SCHADEN AN.

Es handelt sich nicht um bösartige Software: Sie liest keine Daten, greift nicht auf das Internet zu, noch erstellt sie irgendwelche Dateien. Sie wird nicht im Hintergrund ausgeführt, startet nicht automatisch und macht auch sonst nichts, außer eine Meldung anzuzeigen.

Sie enthält jedoch Text, der vom European Institute for Computer Antivirus Research (EICAR) erstellt wurde. Dieser Text sollte von jedem Virenscanner sicher als Virus erkannt werden. Damit können Benutzer testen, ob Antivirenprogramme korrekt funktionieren, ohne die Geräte mit einem echten Virus oder mit Malware zu infizieren.

Eines möchten wir unmissverständlich klarstellen: Diese App ist vollkommen harmlos, sollte jedoch als Virus erkannt werden. Das ist der einzige Zweck. Wenn Sie einen Virenscanner auf Ihrem Handy ausführen, sollte er diese App bei der Installation als Virus erkennen.

Weitere Informationen finden Sie bei der Suche nach „EICAR-Testdatei“ in Wikipedia oder auf der EICAR-Website unter eicar.org.

S.FlexiSpy.gen4

Name S.FlexiSpy.gen4
Kategorie
Veröffentlichungsdatum 07.01.2011
Update-Nummer 1

Der Trojaner FlexiSpy richtet sich gegen das Betriebssystem Symbian. Er zeichnet Anrufe und SMS-Nachrichten auf und sendet sie an einen entfernten Server. Es handelt sich eigentlich um eine Anwendung, die speziell zu diesem Zweck programmiert wurde. Sie wird jedoch heimlich, ohne Hinweise auf den Zweck ausgeführt und somit als Trojaner eingestuft. FlexiSpy ist in verschiedenen Softwarepaketen mit einem zunehmenden Funktionsumfang erhältlich, und alle Funktionen werden auch unterstützt.

Folgende Funktionen sind im kompletten Funktionssatz enthalten:

Fernabhören
Telefonkontrolle durch SMS
SMS- und E-Mail-Protokollierung
Anrufliste-Protokollierung
Positionsverfolgung
Rufüberwachung
GPS-Ortung
Abschirmung
Schwarze Liste
Weiße Liste
Web-Support
Sichere Anmeldung
Sichere Anmeldung
Erweiterte Suche
Berichts-Download
Sonderfunktionen
Benachrichtigung bei SIM-Austausch
GPRS-Funktion erforderlich
Aufgezeichnetes Gespräch abhören

S.Lopsoy.e

Name S.Lopsoy.e
Kategorie
Veröffentlichungsdatum 09.08.2010
Update-Nummer 1

Der SMS-Trojaner Lopsoy sendet SMS-Nachrichten an kostenpflichtige Premium-Dienste und räumt so die Guthaben im Benutzerkonto des mobilen Geräts leer. Lopsoy wird häufig zusammen mit dem Dateinamen PremiumSMSTroy.exe gesichtet und kommt in folgenden Symbian-Paketen vor:

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

Der SMS-Trojaner Lopsoy tritt in mehreren Varianten auf: Die Varianten a, b und c sind zweifellos Bedrohungen für Symbian 3rd Edition, Variante d richtet sich gegen Symbian 2nd Edition. Alle Varianten werden anhand der Signatur S.lopsoy.gen(drs) entdeckt.

S.Lopsoy.f

Name S.Lopsoy.f
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Der SMS-Trojaner Lopsoy sendet SMS-Nachrichten an kostenpflichtige Premium-Dienste und räumt so die Guthaben im Benutzerkonto des mobilen Geräts leer. Lopsoy wird häufig zusammen mit dem Dateinamen PremiumSMSTroy.exe gesichtet und kommt in folgenden Symbian-Paketen vor:

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

Der SMS-Trojaner Lopsoy tritt in mehreren Varianten auf: Die Varianten a, b und c sind zweifellos Bedrohungen für Symbian 3rd Edition, Variante d richtet sich gegen Symbian 2nd Edition. Alle Varianten werden anhand der Signatur S.lopsoy.gen(drs) entdeckt.

S.NeoCall.gen

Name S.NeoCall.gen
Kategorie
Veröffentlichungsdatum 07.01.2011
Update-Nummer 1

NeoCall war ursprünglich als Spionageanwendung für Symbian gedacht. Ein Angreifer kann damit einen nichtsahnenden Benutzer wie folgt ausspionieren:

- Neo-Control: Steuerung mit NeoCall-Software durch den Benutzer
- Neo-Setup: Konfiguration des Zielgeräts über ein praktisches Menü
- Neo-Suite 2k8: Programmreihe für Symbian-9-Smartphones, welche die Hauptanwendungen in einer Software vereint.
- Neo-Phone: Abhören aller Umgebungslaute und Gespräche – Nokia 6600, 6670, 7610
- Neo-Phone2: Abhören aller Umgebungslaute und Gespräche – Handys mit Symbian 7/8 und 9
- Neo-Interceptor: Abhören von eingehenden und ausgehenden Anrufen
- Neo-Sms: SMS-Weiterleitung
- Neo-Log & Email: Erfassung von Informationen im Telefonspeicher und Versand per Bluetooth oder E-Mail
- Neo-List: Ruflisten
- Neo-Trax: Lokalisierung über BTS-Zellen
- Neo-GPS: Lokalisierung durch GPS-Koordinaten
- Neo-Brand: Persönlich gestaltete Installation
- Neo-Contact: Kontaktverwaltung
- Neo-Virtual SMS: SMS-Weiterleitung mit persönlich gestaltetem Absender
- Neo-Sim: SIM-Daten
- Neo-Record: Audioaufzeichnung von Gesprächen
- Neo-SMSInstall: Installation per SMS

Der Angreifer steuert die auf dem Zielgerät ausgeführte NeoCall-Instanz durch Senden von SMS-Befehlen an das Zielgerät, um die angeforderten Daten abzurufen.

Ein Angreifer kann NeoCall auf einem Zielgerät nur dann installieren, wenn er physischen Zugang zum Gerät hat.

S.Photoview.a

Name S.Photoview.a
Kategorie
Veröffentlichungsdatum 28.09.2010
Update-Nummer 1

Cell Phone Recon ist eine kommerzielle Spionagesoftware, die auf jeder größeren Smartphone-Plattform außer iPhone ausgeführt werden kann. Cell Phone Recon bleibt dem Benutzer auf jeder betroffenen Plattform verborgen, da kein Anwendungssymbol angezeigt wird. In der Anwendungsliste ist Cell Phone Recon jedoch unter dem Namen „PhotoViewer“ aufgeführt. Cell Phone Recon bietet folgende Spionagefunktionen:

- Überwachung aller ein- und ausgehenden SMS-Nachrichten
- Anzeige der Inhalte von gesendeten und empfangenen E-Mails
- Protokollierung aller eingehenden/ausgehenden/verpassten Anrufe
- Überwachung & Positionsverfolgung von Mobiltelefonen
- Anzeige von E-Mail-Inhalten im HTML-Format, einschließlich eingefügter Bilder

Für die Überwachung von Standort und Kommunikationen eines bestimmten Geräts durch den Angreifer bietet Cell Phone Recon eine Admin-Website, um die Überwachung einfacher zu machen. Ausführliche Informationen und Anweisungen für Cell Phone Recon finden Sie hier.

S.Spitmo.a

Name S.Spitmo.a
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

SPITMO/SpyEye greift Nutzer an, deren PC mit der PC-Malware SpyEye infiziert ist. Wenn der Benutzer eines infizierten PC zur Online-Banking-Website navigiert, kann SpyEye zusätzliche Inhalte auf die Bankseiten einschleusen. Der Benutzer soll glauben, die Bank frage nach seiner Handynummer, um die Zwei-Faktor-Authentifizierung mithilfe von mTANs zu erleichtern. Die Bank sendet eine nur einmalig verwendbare Transaktionsnummer, die mTAN, an das mobile Gerät des Benutzers, die er zur Authentifizierung für Transaktionen im Online-Banking auf der Bankseite eingibt.

Nachdem SpyEye die Mobiltelefonnummer des Benutzers abgerufen hat, wird er über eingeschleusten Inhalt aufgefordert, ein notwendiges „Zertifikat“ herunterzuladen. Angeblich können nur damit mTAN-Authentifizierungen entsprechend auf dem Gerät verifiziert werden. In Wirklichkeit gibt der Benutzer aber SpyEye seine Handynummer bekannt und wird nun auf betrügerische Weise zur Installation der mobilen Spyware-App „SpyEye“ verleitet. Diese überwacht und erfasst die vom Geldinstitut verschickten mTANs.

SpyEye ist so konfiguriert, dass es diese mTAN-Nummern, die per SMS auf dem Gerät ankommen, erkennt. Sie werden dann an den von Angreifern kontrollierten Server eines Drittanbieters gesendet. So erhalten diese Zugriff auf die Online-Banking-Website des Opfers.

S.Upadapter.gen

Name S.Upadapter.gen
Kategorie
Veröffentlichungsdatum 06.12.2010
Update-Nummer 1

S.Upadapter.o(drs) gehört anscheinend zur Trojaner-Familie AVK.Dumx.A, die auf Geräte mit dem Betriebssystem Symbian abzielt. Es wurde berichtet, dass sich diese spezielle Version in ganz China verbreitet und über eine Million Geräte infiziert hat. Upadapter versendet auf infizierten Geräten hartnäckig SMS-Nachrichten an jede Nummer in der Kontaktliste mit einer URL für den Download des Pakets. Dann stellt er die Verbindung zurück zum Hauptserver her und sendet Informationen über das infizierte Gerät. Wahrscheinlich werden anhand dieser Informationen künftig Befehle per SMS an die infizierten Geräte versandt.

Außer dem Versand von SMS-Nachrichten, nicht autorisierten Anrufen bei teuren Premium-Diensten und Geldüberweisungen vom Mobilfunkkonto des Benutzers agiert Upadapter ähnlich wie manche fortschrittliche PC-Schadsoftware, d. h. die App versucht, eventuell auf dem Smartphone laufende Antivirenprogramme zu deaktivieren.

Das Entfernen von Upadapter ist ziemlich kompliziert. Oft ist ein Reset des Geräts und das Zurücksetzen auf die Werkseinstellungen erforderlich, wodurch der Benutzer sämtliche persönlichen Daten verliert.

S.Yxes.i

Name S.Yxes.i
Kategorie
Veröffentlichungsdatum 09.08.2010
Update-Nummer 1

Yxe kommt als Link in SMS-Nachrichten vor. Damit wird Schadsoftware heruntergeladen, die weitere SMS-Nachrichten versendet. Varianten dieser Malware-Familie sind Symbian-signiert und werden auf Geräten mit Symbian Third Edition ausgeführt. Die Signatur-Zertifikate wurden von XiaMen Jinlonghuatian oder ShenZhen ChenGuangWuXian ausgegeben.

Eine ankommende SMS Spam-Nachricht enthält einen der folgenden Links:

http://www.wwqx-mot.com/game
http://www.wwqx-sun.com/game
http://www.wwqx-cyw.com/game

Alle diese Adressen sind nun deaktiviert. Diese Nachrichten geben an, dass Sie ein Spiel herunterladen können; stattdessen wird aber eine der folgenden signierten SISX-Dateien heruntergeladen:

sexy.sisx (installiert boothelper.exe)
beauty.sisx (installiert EConServer.exe)
beauty_new.sisx (installiert eine andere EConServer.exe).

Die Malware wird nur auf Geräten mit S60 Third Edition ausgeführt und erfasst die Telefonnummern auf dem Gerät. An diese werden weitere Spam-Nachrichten versandt, sodass sie sich immer weiter vermehren. Gesendete Nachrichten werden aus der Mailbox gelöscht. Die Nachrichten können die Akkulaufzeit verkürzen und SMS-Gebühren zur Folge haben.

Der Trojaner erfasst auch Geräteinformationen und sendet sie an einen entfernten Server.

Um eine Deinstallation zu verhindern, deaktiviert er bestimmte Programme auf dem Gerät, insbesondere den Anwendungsmanager.

Benutzer stellten Folgendes fest: Beginnt man eine Neuinstallation der infizierten SISX-Datei, wird der laufende Prozess beendet (die App kann also überschrieben werden), und der Zugriff auf den Anwendungsmanager wäre wieder möglich. Allerdings muss die Neuinstallation zum richtigen Zeitpunkt abgeschlossen sein.

S.Zitmo.a

Name S.Zitmo.a
Kategorie
Veröffentlichungsdatum 28.09.2010
Update-Nummer 1

Der Trojaner Zitmo greift Symbian- und BlackBerry-Geräte an und unterstützt den Windows-Trojaner ZeuS beim Diebstahl von Online-Banking-Daten.
Zitmo ist der erste Trojaner für Mobilfunkgeräte, der mit dem bekannten Windows-Trojaner ZeuS zusammenarbeitet. Dieser stahl erfolgreich Anmeldedaten für Online-Banking-Websites von betroffenen Benutzern. Die Zitmo-Version des Angreifers überwacht die SMS-Kommunikation der infizierten Geräte, um die von der Bank des Opfers gesendeten SMS-Nachrichten zur Authentifizierung abzufangen.
Zum Schutz ihrer Kunden vor Betrug und Identitätsdiebstahl sind viele Bankinstitute mittlerweile zur Zwei-Faktor-Authentifizierung übergegangen. Eine der implementierten Methoden besteht darin, dass die Bank den Kunden eine SMS-Nachricht mit den erforderlichen Daten an das Smartphone sendet. Damit können sie sich auf der Website zum Online-Banking anmelden und Finanztransaktionen sowie Geschäftsaktivitäten durchführen.
Möglicherweise gelangt Zitmo durch vorausgehende Social-Engineering-Attacken auf das mobile Gerät, indem Benutzer auf betrügerische Weise zur Preisgabe ihrer Telefonnummer und/oder ihres Gerätemodells verleitet werden. Das letztendliche Ziel von ZeuS ist, den Benutzer dazu zu bewegen, eine Anwendung auf seinem Gerät zu installieren. Diese gibt sich als „Sicherheitszertifikat“ oder als anderes Validierungsmittel für die Kommunikation mit der Bank aus. Nachdem Zitmo installiert ist, kann jede ans Gerät gesendete SMS-Nachricht von dem Trojaner abgefangen werden, in der Hoffnung. dass sie mTANs, also mobile Transaktionsauthentifizierungsnummern, enthält.
Gegenwärtig werden mTANs zur Authentifizierung in den meisten europäischen Ländern verwendet. Aufgrund geringfügiger technologischer Unterschiede je nach geografischem Gebiet könnten solche Attacken aber vergeblich sein.

WINCE

W.1Eicar Test Signature

Name W.1Eicar Test Signature
Kategorie
Veröffentlichungsdatum 11.03.2008
Update-Nummer 1

DIE EICAR-ANTIVIRUS-TESTDATEI IST KEINE SCHÄDLICHE ANWENDUNG. SIE RICHTET AUF IHREM GERÄT KEINERLEI SCHADEN AN. Diese App zeigt lediglich eine Meldung ähnlich der oben genannten an. Sie erfordert keine Berechtigungen bei der Installation. Sie liest keine Daten, greift nicht auf das Internet zu, noch erstellt sie irgendwelche Dateien. Sie wird nicht im Hintergrund ausgeführt, startet nicht automatisch und macht auch sonst nichts, außer eine Meldung anzuzeigen. Sie enthält jedoch Text, der vom European Institute for Computer Antivirus Research (EICAR) erstellt wurde. Dieser Text sollte von jedem Virenscanner sicher als Virus erkannt werden. Damit können Benutzer testen, ob Antivirenprogramme korrekt funktionieren, ohne die Geräte mit einem echten Virus oder mit Malware zu infizieren. Eines möchten wir unmissverständlich klarstellen: Diese App ist vollkommen harmlos, sollte jedoch als Virus erkannt werden. Das ist der einzige Zweck. Wenn Sie einen Virenscanner auf Ihrem Handy ausführen, sollte er diese App bei der Installation als Virus erkennen. Detaillierte Informationen finden Sie bei der Suche nach „EICAR-Testdatei“ in Wikipedia oder auf der EICAR-Website unter eicar.org.

W.Abcmag.a

Name W.Abcmag.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Hinter verschiedenen Apps wie „Cake Mania Promi Koch“ und „The Simpsons Arcade“ verbirgt sich ein SMS-Trojaner, der SMS-Nachrichten an Premium-Dienste sendet, um Geldbeträge vom Benutzer zu überweisen.

W.AutoR.gen

Name W.AutoR.gen
Kategorie
Veröffentlichungsdatum 24.03.2010
Update-Nummer 1

Es wird eine bösartige Autorun.inf-Datei in den Root-Ordner eines Wechsellaufwerks, i. d. R. ein Flash-Laufwerk, eingepflanzt. Beim Einstecken des Laufwerks in einen Windows-Computer wird ein Menü angezeigt, das aussieht, als würde das Laufwerk als Ordner geöffnet. In Wirklichkeit wird jedoch ein Schadprogramm ausgeführt.

W.Autorun.gen2

Name W.Autorun.gen2
Kategorie
Veröffentlichungsdatum 04.06.2010
Update-Nummer 1

Es wird eine bösartige Autorun.inf-Datei in den Root-Ordner eines Wechsellaufwerks, i. d. R. ein Flash-Laufwerk, eingepflanzt. Beim Einstecken des Laufwerks in einen Windows-Computer wird ein Menü angezeigt, das aussieht, als würde das Laufwerk als Ordner geöffnet. In Wirklichkeit wird jedoch ein Schadprogramm ausgeführt.

W.BopSmiley.gen

Name W.BopSmiley.gen
Kategorie
Veröffentlichungsdatum 02.10.2009
Update-Nummer 1

MobileSpy ist ein im Einzelhandel erhältliches Spionageprogramm, das SMS-Nachrichten und Rufinformationen per SMS an ein anderes Telefon übermittelt.

Detaillierte Informationen: BopSmiley gelangt als CAB-Datei unter dem Namen MobileSpy auf die Geräte. Es ist bekannt, dass BopSmiley nach der Installation und Ausführung mehrere Dateien ablegt und Änderungen an der Registry vornimmt:
\Program Files\Smartphone\Smartphone.exe
\Program Files\Smartphone\OpenNETCF.Net.dll
\Program Files\Smartphone\OpenNETCF.dll
\Program Files\Smartphone\hsmsutil.dll
Das Programm erstellt auch die folgenden Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\RetinaxStudios
RememberUser="0"
AutoLogin="0"
Username""
Password=""
ReportTime="0"
Um die Datei „smartphone.exe“ ausführen zu können, benötigt der Angreifer physischen Zugang zum Gerät. Er muss nämlich die Spyware so konfigurieren, dass er Anrufe und SMS-Nachrichten abfangen kann.

W.Brador.A

Name W.Brador.A
Kategorie
Veröffentlichungsdatum 11.03.2008
Update-Nummer 1

Brador.A ist eine Backdoor, die nur auf PDA-Geräten mit dem Betriebssystem Windows CE (Pocket PC-Versionen  2000, 2002 und 2003) Schaden anrichtet. Brador.A öffnet einen Port und sendet eine E-Mail-Nachricht an den Ersteller. Darin teilt der Virus mit, dass das betreffende PDA-Gerät nun über den geöffneten Port zugänglich ist.
Brador kopiert sich selbst in den Startordner. Dann sendet er die PDA-IP-Adresse per E-Mail an den Entwickler der Backdoor und beginnt mit dem Abhören von Befehlen an einem TCP-Port. Der Hacker kann über den TCP-Port eine Verbindung zum PDA herstellen und das Gerät über die Backdoor kontrollieren.

W.Creeper.gen

Name W.Creeper.gen
Kategorie
Veröffentlichungsdatum 15.10.2010
Update-Nummer 1

Hier handelt es sich um eine Telefonspionage-Suite.
Sie kann unbemerkt installiert werden, einfach nur durch Einstecken einer SD-Karte mit den schädlichen Dateien.
Das Programm wird nicht unter den installierten oder ausgeführten Programmen angezeigt und ermöglicht eine Reihe von Funktionen. Smartphones mit dieser Software können aus der Ferne per SMS-Nachrichten kontrolliert werden. Alle Befehle werden stillschweigend empfangen und sofort wieder gelöscht. Die Ergebnisse werden per SMS an den Absender zurück gemeldet.

W.Cyppy.gen

Name W.Cyppy.gen
Kategorie
Veröffentlichungsdatum 06.08.2009
Update-Nummer 1

Der SMS-Trojaner verschickt 100 Premium-SMS-Nachrichten an die Nummer 8055 und transferiert auf diese Weise Geldbeträge vom Konto des Benutzers. Diese SMS-Adresse ist in vielen Ländern ungültig.

W.Duts.A

Name W.Duts.A
Kategorie
Veröffentlichungsdatum 11.03.2008
Update-Nummer 1

Duts ist ein Proof-of-Concept-Virus für Pocket-PCs.

Der Virus Duts.A infiziert nur ausführbare Dateien mit der Dateierweiterung EXE auf Plattformen mit dem Betriebssystem Windows Mobile. Duts.A erstellt eine Kopie seines Codes im letzten Abschnitt der EXE-Datei und leitet den Eingangspunkt an diesen Code um.
Er infiziert alle ausführbaren Dateien im System, die über eine bestimmte Länge hinausgehen, und verbindet sich mit dem Eingangspunkt. Daraufhin tritt der Viruscode bei Verwendung der ausführbaren Dateien in Aktion.

W.FlxSpy

Name W.FlxSpy
Kategorie
Veröffentlichungsdatum 29.04.2008
Update-Nummer 1

Flexispy ist ein im Einzelhandel erhältliches Spionageprogramm. Es wird von jemandem installiert, der physischen Zugang zum Gerät hat. Einmal auf dem Gerät installiert, wird der irreführende Name einer installierten App angezeigt, im App-Menü ist das Programm jedoch nicht zu sehen.
Es kann SMS-Nachrichten, Anrufdaten und andere vertrauliche Daten an einen Server übertragen, der von einem Spion überwacht wird.
Manche Versionen können Gespräche in einem Raum an den Spion durchsickern lassen.

W.FxSpFp

Name W.FxSpFp
Kategorie
Veröffentlichungsdatum 29.04.2008
Update-Nummer 1

Flexispy ist ein im Einzelhandel erhältliches Spionageprogramm. Es wird von jemandem installiert, der physischen Zugang zum Gerät hat. Einmal auf dem Gerät installiert, wird der irreführende Name einer installierten App angezeigt, im App-Menü ist das Programm jedoch nicht zu sehen.
Es kann SMS-Nachrichten, Anrufdaten und andere vertrauliche Daten an einen Server übertragen, der von einem Spion überwacht wird.
Manche Versionen können Gespräche in einem Raum an den Spion durchsickern lassen.

W.FxSpVp

Name W.FxSpVp
Kategorie
Veröffentlichungsdatum 29.04.2008
Update-Nummer 1

Flexispy ist ein im Einzelhandel erhältliches Spionageprogramm. Es wird von jemandem installiert, der physischen Zugang zum Gerät hat. Einmal auf dem Gerät installiert, wird der irreführende Name einer installierten App angezeigt, im App-Menü ist das Programm jedoch nicht zu sehen.
Es kann SMS-Nachrichten, Anrufdaten und andere vertrauliche Daten an einen Server übertragen, der von einem Spion überwacht wird.
Manche Versionen können Gespräche in einem Raum an den Spion durchsickern lassen.

W.Infojack.A

Name W.Infojack.A
Kategorie
Veröffentlichungsdatum 21.04.2008
Update-Nummer 1

Überträgt vertrauliche Informationen an eine Website. Die Malware wird unter dem Paketnamen „Little Games“ an chinesischsprachige Benutzer vertrieben.
Die bösartige Komponente kann sich über eine infizierte SD-Karte verbreiten.

Detaillierte Informationen: Es handelt sich um einen Windows-CE-Trojaner, der die Sicherheitseinstellungen herabsetzt und weitere Komponenten herunterlädt. Überträgt Informationen vom Gerät zu einem Server.
Möglicherweise wurde Infojack von Betreibern von mobi.xiaomeiti.com bzw. für diese erstellt, doch die chinesische Regierung hat diesen Dienst mittlerweile stillgelegt. Anfangs sollten durch diesen Trojaner Geräteinformationen von Pocket-PCs in chinesischer Sprache erfasst werden. Doch über einen neuen Upgrade-Download konnte er sich selbst unbemerkt aktualisieren. Er schützt sich selbst gegen Desinfizierung, indem er sich aus Sicherungsdateien wiederherstellt. Außerdem verbreitet er sich über Speicherkarten. Und er ändert die Homepage des Webbrowsers auf dem Gerät. Der Virus wird durch öffentlich erhältliche Programme installiert: Google Maps für China, ein Programm für den Aktienhandel und (am häufigsten) ein Paket mit zehn kleinen Spielen.

W.LBooter.a

Name W.LBooter.a
Kategorie
Veröffentlichungsdatum 16.08.2010
Update-Nummer 1

Diese Version des HeRET Linux-Booter bewirkt, dass das Gerät nicht korrekt neu gestartet wird. Installation über einen Trojaner.

W.Levar.a

Name W.Levar.a
Kategorie
Veröffentlichungsdatum 19.05.2011
Update-Nummer 1

Gibt vor, ein AV-Programm zu sein, doch in Wirklichkeit handelt es sich um einen SMS-Trojaner.

W.Luanch.a

Name W.Luanch.a
Kategorie
Veröffentlichungsdatum 16.08.2010
Update-Nummer 1

Tarnt sich als Energieverwaltungs-, Startprogramm oder eine andere Anwendung, doch es handelt sich um einen SMS-Trojaner, der Premium-SMS-Nachrichten versendet, um Geldbeträge vom Konto des Nutzers abzubuchen.

W.MobUn.a

Name W.MobUn.a
Kategorie
Veröffentlichungsdatum 07.09.2011
Update-Nummer 7

Versucht, sich selbst zu installieren, und wird bei jedem Systemstart ausgeführt. Sendet SMS-Nachrichten an Premium-Nummern, um Geldbeträge vom Konto des Benutzers abzubuchen.. Versucht, eine neuere Version von sich herunterzuladen und zu installieren.

W.PMCrypt.gen

Name W.PMCrypt.gen
Kategorie
Veröffentlichungsdatum 20.08.2010
Update-Nummer 1

Dienstblockade bzw. DDoS-Angriff und Gebührenbetrug

Detaillierte Informationen: WinCE.PMCryptic.a ist ein Wurm, der auf Geräte mit dem Betriebssystem Windows Mobile abzielt. Dieser Computerwurm verbreitet sich über Speicherkarten und ist bereits in verschiedenen Formen aufgetaucht, weshalb er zu den polymorphen Viren zählt. Er tarnt sich als ausführbare Datei mit einem Ordnersymbol, damit der Benutzer glaubt, die Ausführung sei unbedenklich. Nachdem er ausgeführt wurde, legt er Dateien im Stammverzeichnis der Geräteverzeichnisstruktur ab und führt dann eine dieser Dateien aus. Während der Ausführung dieser abgelegten Datei werden 5 unterschiedliche Bedrohungen gestartet, die folgendermaßen funktionieren:
- Es werden Anrufe bei teuren Premium-Nummern eingeleitet und die anfallenden Gebühren dem Benutzerkonto in Rechnung gestellt.
- Alle Eingaben in laufende Anwendungen werden deaktiviert. Dies hat zur Folge, dass das Telefon nicht mehr reagiert.
- Das systemspezifische Farbschema wird alle paar Sekunden geändert und endet mit dem Schwarz-auf-Schwarz-Farbschema, wodurch das Gerät unbrauchbar wird.
- Das Gerät wird nach einer Wechselmedienkarte durchsucht. Ist die Suche erfolgreich, wird eine Kopie des Virus als Autorun-Datei auf der Medienkarte abgelegt. Diese wird ausgeführt, wenn die Medienkarte in ein anderes Gerät eingesteckt wird.
- Das Gerät wird nach Ordnern in der Verzeichnisstruktur durchsucht. Dann kopiert der Virus den Ordnernamen und setzt die Ordnerattribute auf „verborgen“. Wenn der Ordner nicht mehr sichtbar ist, kopiert sich der Virus unter dem Ordnernamen ins Verzeichnis und versucht erneut, den Benutzer zur Ausführung des „Ordners“ zu bewegen.

 

W.Photoview.a

Name W.Photoview.a
Kategorie
Veröffentlichungsdatum 28.09.2010
Update-Nummer 1

Cell Phone Recon ist eine Spionagesoftware für mehrere Plattformen

Cell Phone Recon ist eine kommerzielle Spionagesoftware, die auf jeder größeren Smartphone-Plattform außer iPhone ausgeführt werden kann. Cell Phone Recon bleibt dem Benutzer auf jeder betroffenen Plattform verborgen, da kein Anwendungssymbol angezeigt wird. In der Anwendungsliste ist Cell Phone Recon jedoch unter dem Namen „PhotoViewer“ aufgeführt. Cell Phone Recon bietet folgende Spionagefunktionen:

Überwachung aller ein- und ausgehenden SMS-Nachrichten
Anzeige der Inhalte von gesendeten und empfangenen E-Mails
Protokollierung aller eingehenden/ausgehenden/verpassten Anrufe
Überwachung & Positionsverfolgung von Mobiltelefonen
Anzeige von E-Mail-Inhalten im HTML-Format, einschließlich eingefügter Bilder


Für die Überwachung von Standort und Kommunikationen eines bestimmten Geräts durch den Angreifer bietet Cell Phone Recon eine Admin-Website, um die Überwachung einfacher zu machen.

W.Redoc.gen

Name W.Redoc.gen
Kategorie
Veröffentlichungsdatum 22.05.2009
Update-Nummer 1

Redoc ist ein SMS-Trojaner

Er kann zusammen mit einer ansonsten gültigen Anwendung vorkommen, welche die Trojanerfunktion tarnt. Aber er sendet unbefugt SMS-Nachrichten an eine Premium-Nummer.

W.Sejweek.b

Name W.Sejweek.b
Kategorie
Veröffentlichungsdatum 13.01.2010
Update-Nummer 1

Sejweek ist ein SMS-Trojaner, der auf das Internet zugreift und periodische SMS-Nachrichten an kostenpflichtige Premium-Dienste sendet.

WinCE/Sejweek.B wird in einer Microsoft-CAB-Archivdatei namens „sejweek.bin“ verbreitet. Die Archivdatei enthält folgende schädliche Komponenten:
sendservice.exe
setupdll.dll
„setupdll.dll“ ist eine dynamische Link-Bibliothek, die während der Installation von Windows Mobile aufgerufen wird. Der Malware-Entwickler hat diese Komponente erstellt, um „sendservice.exe“ von „\temp\“ nach „\windows\“ zu kopieren. Dann wird der Prozess erstellt, der WinCE/Sejweek.B bei Installation ausführt. „setupdll.dll“ wird nicht auf dem Gerät installiert.
„sendservice.exe“ ist eine ausführbare Microsoft .NET-Datei. Dazu muss Microsoft .NET Compact Framework 2.0 oder eine neuere Version auf dem Gerät installiert sein.
WinCE/Sejweek.B erstellt den Registrierungsschlüssel HKLM\Init\Launch96 und fügt den Namen der .exe-Datei als Wert hinzu, damit sie bei Systemstart ausgeführt wird.
WinCE/Sejweek.B überprüft alle 5 Minuten die aktuelle Zeit. Ist der Wert der aktuellen Zeit höher als der des Zeitpunkts, zu dem die letzte SMS gesendet wurde, und ist die Stundenangabe der aktuellen Zeit größer oder gleich 11, dann wird die Verbindung zur URL http://[removed].com/[removed]/get.php hergestellt, um die Konfigurationsdatei im XML-Format abzurufen. Die Datei enthält eine Telefonnummer, den Nachrichtentext und das Sendeintervall für die SMS-Nachrichten.
Telefonnummer und Intervall werden im verschlüsselten Format in der Konfigurationsdatei gespeichert. Nach Decodierung der Konfigurationswerte erstellt WinCE/Sejweek.B die Datei „servicedata.dat“ im selben Verzeichnis wie der Trojaner selbst und speichert die Telefonnummer, den Nachrichtentext und das Intervall in dieser Datei.
Wenn der Server ungültige Daten in den „phone“-Elementen (z. B. falsch verschlüsselte Daten) sendet, hat dies zur Folge, dass WinCE/Sejweek.B möglicherweise mit einer Ausnahme beendet wird.

W.Spybub.a

Name W.Spybub.a
Kategorie
Veröffentlichungsdatum 24.02.2010
Update-Nummer 1

Spy Bubble ist eine getarnte GPS-Tracking-Software. SpyBubble bietet ähnlich wie andere Android-Überwachungsanwendungen auf dem Markt eine „heimliche“ GPS-Ortung und verschiedene Überwachungs-/Spionagefunktionen (z. B. Mobile Spy).

SpyBubble kann folgende Aktivitäten nachverfolgen:

GPS-Ortung
SMS-Nachrichten, die an das Gerät gesendet oder von dort empfangen wurden
Anzeige von Rufprotokollen

W.Terdial.gen

Name W.Terdial.gen
Kategorie
Veröffentlichungsdatum 09.07.2010
Update-Nummer 1

Terdial ist ein Trojanisches Pferd, das auf Windows Mobile-Geräte abzielt.

Detaillierte Informationen: Der Trojaner Terdial kommt in zwei verschiedenen Formen vor. Die erste maskiert sich als Spiel mit Namen „3D Antiterrorist Aktion“. Die andere Version des Trojaners heißt „Codec Pack for Windows Mobile 1.0“. Beide Anwendungen tätigen heimlich und in regelmäßigen Abständen Anrufe bei Premium-Nummern.

Terdial findet sich in folgenden Paketen:

antiterrorist3d.cab
codecpack.cab

Beide kopieren eine weitere Datei in das Systemverzeichnis des Geräts mit Namen „smart32.exe“.

Ist das Gerät einmal infiziert, so tätigt Terdial Anrufe bei sechs verschiedenen Premium-Nummern in Abständen von 50 Sekunden zwischen den Anrufen. Bei neueren Versionen des Trojaners beträgt der Abstand nun 500 Sekunden zwischen den Anrufen. Die folgenden Nummern wurden identifiziert:

+8823460777
+17675033611
+88213213214
+25240221601
+2392283261
+881842011123
Die von Terdial verwendeten Zeitintervalle werden durch folgende Algorithmen festgelegt, um den Zeitpunkt für die Premium-Anrufe durch die Malware zu bestimmen:
Zeit = (Tag der ersten Ausführung + 3) und (Stunde der ersten Ausführung - [Zufallsganzzahl zwischen 0 und 6])
Beispiel: Wurde der Trojaner erstmals am Dienstag, den 13. April 2010 um 14:15 Uhr bei einer Zufallsganzzahl von 4 ausgeführt, wird die Zeitbombe auf Freitag, den 16. April 2010 um 10:15 Uhr gesetzt.
Wird die Anwendung erneut ausgeführt, bevor diese Zeitbombe los geht, dann wird eine zweite Zeitbombe für dieselbe Zeit im Folgemonat gesetzt.
Neue Zeitbombe zur späteren Ausführung = (Monat der Ausführung + 1)
Beispiel: Wenn die zweite Ausführung am Dienstag, den 13. April 2010 um 14:22 Uhr angestoßen wurde, wird eine neue Bombe für den nachfolgenden Monat am Dienstag, den 13. Mai 2010 um 14:22 Uhr festgelegt.

 

W.Zitmo.b

Name W.Zitmo.b
Kategorie
Veröffentlichungsdatum 09.03.2011
Update-Nummer 1

Der Trojaner Zitmo greift Geräte an und unterstützt den Windows-Trojaner ZeuS beim Diebstahl von Online-Banking-Daten.
Zitmo ist der erste Trojaner für Mobilfunkgeräte, der mit dem bekannten Windows-Trojaner ZeuS zusammenarbeitet. Dieser stahl erfolgreich Anmeldedaten für Online-Banking-Websites von betroffenen Benutzern. Die Zitmo-Version des Angreifers überwacht die SMS-Kommunikation der infizierten Geräte, um die von der Bank des Opfers gesendeten SMS-Nachrichten zur Authentifizierung abzufangen.
Zum Schutz ihrer Kunden vor Betrug und Identitätsdiebstahl sind viele Bankinstitute mittlerweile zur Zwei-Faktor-Authentifizierung übergegangen. Eine der implementierten Methoden besteht darin, dass die Bank den Kunden eine SMS-Nachricht mit den erforderlichen Daten an das Smartphone sendet. Damit können sie sich auf der Website zum Online-Banking anmelden und Finanztransaktionen sowie Geschäftsaktivitäten durchführen.
Möglicherweise gelangt Zitmo durch vorausgehende Social-Engineering-Attacken auf das Mobilgerät, indem Benutzer auf betrügerische Weise zur Preisgabe ihrer Telefonnummer und/oder ihres Gerätemodells verleitet werden. Das letztendliche Ziel von ZeuS ist, den Benutzer dazu zu bewegen, eine Anwendung auf seinem Gerät zu installieren. Diese gibt sich als „Sicherheitszertifikat“ oder als anderes Validierungsmittel für die Kommunikation mit der Bank aus. Nachdem Zitmo installiert ist, kann jede ans Gerät gesendete SMS-Nachricht von dem Trojaner abgefangen werden, in der Hoffnung. dass sie mTANs, also mobile Transaktionsauthentifizierungsnummern, enthält.
Gegenwärtig werden mTANs zur Authentifizierung in den meisten europäischen Ländern verwendet. Aufgrund geringfügiger technologischer Unterschiede je nach geografischem Gebiet könnten solche Attacken aber vergeblich sein.

W.jxSMSSpy

Name W.jxSMSSpy
Kategorie
Veröffentlichungsdatum 15.10.2010
Update-Nummer 1

Ein Anti-Diebstahl-Programm im Direktverkauf, das zum böswilligen Ausspähen eines Nutzers verwendet werden kann. Es muss von jemandem installiert werden, der physischen Zugang zum Gerät hat.
„Die installierte Software können Sie mit jedem beliebigen Smartphone überwachen. Auch Informationen, die auf die Verwaltungswebsite für Anti-Diebstahl-Verfolgung hochgeladen wurden, können überwacht werden.“
Leitet Standort, SMS-Nachrichten und Rufinformationen an die Website weiter.
Wird nicht im App-Menü angezeigt.
Wird über verborgene SMS-Nachrichten kontrolliert.