menu

"Agent Smith": Android-Malware ersetzt echte Apps durch Fake-Versionen

Agent Smith kann reguläre Android-Apps durch infizierte Kopien ersetzen.

Eine neue Android-Malware sorgt momentan für Aufruhr. Die Malware namens "Agent Smith" ersetzt echte Apps durch Apps mit infiziertem Code, ohne dass der Nutzer etwas davon mitbekommt. Insgesamt sollen 25 Millionen Geräte betroffen sein.

Agent Smith wird momentan dazu verwendet, durch das Ausspielen infizierter Werbung finanzielle Gewinne für die Drahtzieher zu erzielen, berichtet TNW. Da die Malware aber in der Lage ist, populäre Android-Apps durch perfekte Kopien mit infiziertem Code zu ersetzen, könnte Agent Smith zukünftig noch weitaus größere Schäden anrichten, erklären Sicherheitsforscher.

So funktioniert Agent Smith

Agent Smith führt auf Android-Smartphones eine dreistufige Infizierung aus. Ziel der Malware-Entwickler ist es, ein Bot-Netz aufzubauen, dass durch einen Command-and-Control-Server ferngesteuert wird. Seinen Weg auf Android-Smartphone findet die Schadsoftware durch die Installation einer infizierten App, einer sogenannten Dropper-App. Das sind meist modifizierte Pakete beliebter Android-Apps.

Die Dropper-App installiert dann die Malware-App versteckt auf dem Smartphone. Sie ist weder auf dem Homescreen zu sehen noch kann sie von Sicherheitsmechanismen entdeckt werden, da sie sich als Updater von Google-Diensten tarnt. In der finalen Stufe ersetzt die Malware reguläre Apps durch infizierte. Dazu scannt die Malware, welche Apps auf dem infizierten Gerät anfällig für einen Austausch sind. Findet sie geeignete Apps, werden die Basis-APK (Android-Paket-Datei) extrahiert, infizierte Werbemodule injiziert und die App-Kopie wird als Update über die Orginal-App installiert.

Damit die infizierten Apps nicht durch echte Updates aus dem Store überschrieben werden, installiert die Malware einen Patch, die die infizierten Apps aus der Liste der automatischen Updates herausnimmt.

Ist die Malware auch für deutsche Android-Nutzer gefährlich?

Erstmals aufgetaucht ist die Malware im Januar 2016 in dem Drittanbieter-App-Store 9Apps, der vor allem in China, Indien und Indonesien beliebt ist. Von den 25 Millionen infizierten Geräten entfallen allein 15 Millionen auf Indien. Für die meisten deutschen Nutzer ist die Malware jedoch ungefährlich, solang sie eine halbwegs aktuelle Android-Version verwenden. Die Malware macht sich die sogenannte Janus-Schwachstelle aus den Android-Versionen 5 und 6 zunutze. Diese wurde aber bereits in Android 7 behoben.

Kommentar schreiben
Relevante Themen:

Neueste Artikel zum Thema IT-Sicherheit

close
Bitte Suchbegriff eingeben