Das ABC der Cybersicherheit – Android-Bedrohungen: S wie SMS-Sender

Diese Arten von Trojanern haben nur einen einzigen Zweck, nämlich die Bereicherung von Cyberkriminellen: Sie schleusen heimlich Schadsoftware in Mobilgeräte ein, welche dann die Kontrolle über die Funktionen zum Senden und Empfangen von SMS-Nachrichten übernimmt. Dies ist eine sehr wirkungsvolle und einfache Art, um Geld zu verdienen, da die Bedrohung nicht erkannt werden kann, bevor Schaden entstanden ist.

Da es die Nutzer nicht mitbekommen, wenn heimlich Textnachrichten versendet werden, tritt dieses kriminelle Verhalten in der Regel erst dann zutage, wenn exorbitante Telefonrechnungen ins Haus flattern oder Guthaben in wenigen Tagen aufgebraucht sind.

Infektionsmethode

Eine der gebräuchlichsten Infektionsmethoden von SMS-sendenden Trojanern besteht darin, dass man sich Apps von Drittanbieter-Quellen herunterlädt und installiert, die in der Regel nicht so gewissenhaft Desinfektions-Apps einsetzen, wie dies offizielle Portale tun. über diese Schwachstelle können die übeltäter reguläre - üblicherweise kostenpflichtige - Apps mit Schadcode infizieren, wobei den Nutzern versprochen wird, dass die heruntergeladenen Apps ohne Kaufverpflichtung die vollständige Version enthalten.

Diese Methode ist sehr wirksam, um die Nutzer dazu zu bringen, Apps von nicht offiziellen Quellen herunterzuladen, da es immer wieder Anwender gibt, die für ihre Apps nicht bezahlen möchten. Es ist allerdings gelegentlich auch schon vorgekommen, dass Apps von offiziellen Quellen ein bösartiges Verhalten gezeigt haben und ebenfalls in krimineller Absicht SMS-Nachrichten versendet haben. Diese Apps waren seinerzeit so ausgeklügelt, dass sie sogar über Mechanismen zum Umgehen von CAPTCHA-Tests verfügten, sodass sie in der Lage waren, insbesondere die Validierung bei der Nutzung kostspieliger Mehrwertdienste-Rufnummern auszuhebeln.

Weitere Infektionsmethoden, die in der Regel ein wenig komplexer sind, nutzen Zero-Day-Schwachstellen (bis dato unbekannte Sicherheitslücken) - üblicherweise in Browsern - wobei bösartige URLs genutzt werden. Immer wenn ein Nutzer einen von einem Angreifer manipulierten Link öffnet, wird er auf eine Webseite umgeleitet, über die ein Krimineller aus der Ferne ein Android-Gerät nutzen und steuern kann. Dies erfordert natürlich viel Know-How von Seiten der Angreifer, und solche Android-Schwachstellen werden üblicherweise auch zur Verbreitung anderer Arten von Bedrohungen, wie beispielsweise RATs (Remote-Access-Trojaner) ausgenutzt und weniger zum Einschleusen von SMS-sendender Malware.

Und so funktioniert es

Sobald eine mit einem SMS-sendenden Trojaner infizierte App auf Ihr Gerät gelangt, bemächtigt sie sich der Funktionen zum Senden und Empfangen von SMS-Nachrichten. Dies bedeutet, dass sie Textnachrichten ohne Wissen des Benutzers senden und empfangen kann und sogar in der Lage ist, entsprechende Benachrichtigungen an den Nutzer zu verbergen.

Diese Trojaner versuchen in der Regel, mehrere Premium-Rufnummern zu kontaktieren, deren Dienste pro Textnachricht manchmal einige Dollar bzw. Euro kosten. Dabei handelt es sich üblicherweise um Erotik-Services, mit denen der Angreifer irgendwie verbandelt ist. Somit erhält der Kriminelle Geld für jeden Nutzer, der den Service abonniert. Einige dieser Dienste haben inzwischen Funktionen eingebaut, die ein automatisches Abonnieren verhindern sollen, zum Beispiel eine Zwei-Faktor-Authentifizierung oder einen CAPTCHA-Test. Allerdings kann der SMS-sendende Trojaner auch eingehende E-Mails lesen und somit Einmal-Passwörter zur Authentifizierung abfangen und somit den Vorgang rechtmäßig erscheinen lassen.

Schutz und Abhilfe

Vermeiden Sie es, Apps von nicht vertrauenswürdigen oder Drittanbieter-Quellen herunterzuladen und zu installieren. Seien Sie besonders wachsam, wenn Ihnen versprochen wird, dass sie eine vollständig freigeschaltete Version einer App erhalten, die normalerweise kostenpflichtig ist. Solche Apps sind in der Regel mit SMS-sendenden Trojanern und/oder anderer Schadsoftware infiziert und locken ihre Opfer mit dem Versprechen, dass sie die Vollversion einer begehrten App erhalten können. Manchmal nutzen die Cyberkriminellen die Namen populärer Apps, wie beispielsweise Angry Birds oder Pokemon Go, für ihre mit Schadsoftware gespickten Apps, die mit dem Original überhaupt nichts zu tun haben.

Zum Entfernen des Schad-Trojaners genügt es manchmal, einfach die in Android verfügbaren Deinstallationsfunktionen zu nutzen. Bösartige Apps verbergen ihre Namen jedoch sehr oft hinter Aliasnamen, die den Nutzern weismachen sollen, dass es sich um System-Apps handelt. So werden solche Schad-Apps beispielsweise unter einem Alias wie com.android.system.service; oder com.android.system.manager angezeigt, wenn der Nutzer im Deinstallations-Manager nach ihnen sucht, oder sie verbergen sich in der Willkommensanzeige hinter Namen wie Downloadmanager.

Es ist auch wichtig, dass Sie die Berechtigungen prüfen, wenn Sie eine neue App installieren. Es ist nämlich ein verräterisches Zeichen, wenn eine App nicht vorhergesehene Aktionen durchführt. So sollte man zum Beispiel stutzig werden, wenn ein Rennsimulator die Berechtigung zum Senden von Textnachrichten anfordert, da diese Funktion normalerweise in einer solchen App nichts zu suchen hat. Daraus folgt, dass jede App, die versucht, die Berechtigung zum Senden von SMS-Nachrichten zu erlangen, einen berechtigten Grund dafür haben muss. Ansonsten handelt es sich ganz sicher um eine krumme Geschichte.

Die beste Schutz Ihres Geräts vor SMS-sendenden Trojanern besteht in der dauerhaften Nutzung einer mobilen Sicherheitslösung, die in der Lage ist, Apps schon vor ihrer Installation auf Herz und Nieren zu prüfen. Unabhängig davon, ob Sie Ihre Apps von einer offiziellen Quelle oder aus dem Store eines Drittanbieters herunterladen, kann eine mobile Sicherheitslösung herausfinden, ob es sich um eine bösartige App handelt, und verhindern, dass diese auf Ihrem Gerät installiert wird.

Der Oktober ist der Monat der Cybersicherheit. Hier finden Sie unsere 12 Artikel zum ABC der Cybersicherheit sowie 5 Bonusartikel zu Android-Bedrohungen.