„HummingBad“ – gewinnträchtige Android-Schadsoftware, made in Asia

07.07.2016
G DATA Blog

In den vergangenen Tagen und Wochen tauchten Berichte auf, denen zur Folge eine neue Schadsoftware Millionen von Smartphones und Tablet PCs weltweit infiziert hat und den Machern bis zu 300.000 Euro Gewinn pro Monat einbringt. Urheber soll nach Erkenntnissen von Forschern des Security-Herstellers Checkpoint eine Werbefirma in China mit dem Namen Yingmob sein, die in der Vergangenheit bereits mit einer anderen Schadsoftware für iOS mit dem Namen YiSpecter von sich reden gemacht hat. (Anm. d.Verf.: mit „mob“ wird im Englischen auch die Mafia, bzw. generell kriminelle Vereinigungen bezeichnet. Ob es sich bei der Namenswahl von Yingmob um Zufall handelt, ist dem Leser überlassen)

Im Falle von HummingBad wird ein befallenes Android-Geräte unbemerkt gerootet, das heißt, die bösartige App verschafft sich ohne Wissen und Zutun des Benutzers durch Ausnutzung von Android-Sicherheitslücken umfassende Systemrechte und hebelt das gesamte Sicherheitskonzept in Android aus. Betroffen sind fast alle Android-Versionen, eine Häufung ist jedoch bei der Version 4.4 („KitKat“) zu beobachten.

Der Nutzen für die Angreifer

Diese umfassenden Rechte werden dann dazu genutzt, im Hintergrund dubiose Apps herunter zu laden und zu installieren, Werbebanner einzublenden und um Klicks auf fragwürdigen Webseiten zu generieren. Die entsprechenden Befehle dazu bekommen die Geräte von Yingmob-Kontrollservern. Dadurch häufen sich für die Macher beträchtliche Einnahmen an, da sie für jeden Klick auf ein Werbebanner und jede erfolgreiche Installation einer heruntergeladenen App Geld erhalten. Man spricht hier auch von „Pay Per Click“ und „Pay Per Install“. Pro Gerät sind dies nur Bruchteile eines Cents, allerdings ist die Masse in diesem Falle entscheidend. So kommt man schnell auf vier-bis fünfstellige Beträge, die Yingmob täglich für sich verbuchen kann. Dabei wird die Schadsoftware sowohl in legitim erscheinenden Apps versteckt als auch über so genannte „Drive-By-Downloads“ verteilt, bei denen der Anwender selbst nicht aktiv werden muss. 

Besonders perfide ist dabei die Vorgehensweise bei eingeblendeter Werbung: die einzige Möglichkeit, ein eingeblendetes Werbebanner los zu werden, ist das Antippen des Banners. Über die „Zurück“-Taste lässt sich die Werbung nicht ausblenden. Wird jedoch ein Banner vermeintlich geschlossen, lädt die Schadsoftware eine weitere App herunter, die im Hintergrund installiert wird – natürlich ohne, dass der Anwender etwas dagegen unternehmen kann.

Einige Möglichkeiten: Von Werbung bis DDoS

Derzeit ist das primäre Ziel der Schadsoftware, Geld zu machen. Es ist allerdings auch denkbar, dass befallene Geräte für andere Zwecke missbraucht werden können. So ist es denkbar, dass wir irgendwann auch DDoS-Angriffe beobachten können, die auf Mobilfunkgeräten basieren. Wir werden diese Entwicklung weiterhin beobachten. 

Schutz vor der Malware

Anwender, die ihre Android-Geräte mit einer G DATA Sicherheitslösung gesichert haben, sind geschützt: Die Schadsoftware wird gemeldet als Android.Trojan.Iop.Y beziehungsweise Android.Trojan.Agent.A.

Einen gewissen Schutz vor HummingBad haben Anwender, die ihre Apps ausschließlich aus dem Google-eigenen Play Store beziehen. Zwar gibt es gelegentlich auch dort Schadsoftware, allerdings ist der Anteil dort weitaus geringer als in inoffiziellen App-Quellen.

Ein infiziertes Gerät wird nur durch ein vollständiges Zurücksetzen auf Werkseinstellungen wieder normal nutzbar; allerdings gehen dabei alle nicht anderweitig gespeicherten Daten verloren.

Lesen Sie weitere Tipps und Tricks im Bereich G DATA Ratgeber.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein