Suchen

Cybersicherheit Malware „HummingBad“ infiziert über 85 Mio. Android-Geräte

| Autor / Redakteur: Franz Graser / Sariana Kunze

Die israelische Sicherheitsfirma Checkpoint schlägt Alarm. Die aus China stammende Malware „HummingBad“ hat sich seit dem Sommer letzten Jahres auf rund 85 Mio. Android-Geräten eingenistet. Das Schadprogramm dient vordergründig dazu, Werbebanner einzuspielen, ist aber auch dazu in der Lage, in großem Maßstab persönliche Daten zu entwenden.

Firma zum Thema

Die Malware HummingBad ist nach dem englischen Namen des Kolibris (Hummingbird) benannt. Sie dient vordergründig dazu, infizierte Apps auf Android-Geräte zu laden, auf die ungebremst Werbebanner eingespielt werden, kann aber auch noch mehr Schaden anrichten.
Die Malware HummingBad ist nach dem englischen Namen des Kolibris (Hummingbird) benannt. Sie dient vordergründig dazu, infizierte Apps auf Android-Geräte zu laden, auf die ungebremst Werbebanner eingespielt werden, kann aber auch noch mehr Schaden anrichten.
(Bild: Pixabay / CC0 )

Checkpoint beobachtet die „HummingBad“-Malware seit Februar. Wahrscheinlich ist das Schadprogramm aber bereits seit August 2015 in Umlauf. Die Malware installiert ein Rootkit auf den befallenen Geräten, installiert betrügerische Apps und generiert darüber hinaus Umsätze durch fragwürdige Werbebanner.

Hinter der Malware verbirgt sich laut Checkpoint eine chinesische Firma namens Yingmob mit Sitz in Chongqing in Zentralchina, mit 30 Mio. die größte Stadt in der Volksrepublik. Yingmob entwickelt einerseits legitime Internet-Werbeplattformen und Analysesoftware, betreibt aber laut den Checkpoint-Informationen auch eine Abteilung für sinistre Projekte.

Mit HummingBad generiert die Gruppe jeden Monat rund 300.000 Dollar Umsatz durch Werbebanner, die auf die Geräte der betroffenen User eingespielt werden. Darüber hinaus versucht die Gruppe praktisch täglich, Tausende von Geräten zu rooten (also Administratorrechte auf diesen Devices zu erlangen) und hat damit auch teilweise Erfolg.

Die auf diese Weise gekaperten Geräte kann die Gruppe zu einem Botnetz zusammenschalten, mit dem Unternehmen oder staatliche Behörden attackiert werden können. Es ist auch denkbar, dass dieses Botnetz auch Cyberkriminellen gegen Bezahlung zur Verfügung gestellt wird. Alle auf den gekaperten Geräten gespeicherten Daten sind naturgemäß gefährdet. Besonders heikel ist die Situation, wenn ein Gerät sowohl zu privat als auch beruflich gebraucht wird; dann sind Geschäftsgeheimnisse bedroht.

Mehrstufiger Installationsprozess

Die Malware nutzt einen ausgetüftelten mehrstufigen Installationsprozess. Checkpoint vermutet, dass die Geräte zunächst über Websites mit sogenanntem Adult Content (vulgo Pornografie) infiziert werden. Im Zuge dieses Drive-By-Downloads versucht sich die erste Komponente Administratorrechte auf dem Smartphone oder dem Tablet zu verschaffen. Gelingt das nicht, erhält der Benutzer eine Meldung über ein angeblich anstehendes System-Update. Wenn der Anwender dieses erlaubt, gestattet er der Malware systemweiten Root-Zugriff.

Unabhängig davon, ob der Root-Zugriff Erfolg hat, versucht HummingBad, so viele betrügerische Apps wie möglich auf das Gerät zu laden. Nach Informationen des Online-Dienstes CNET sind gängige Virenscanner wie ZoneAlarm, Lookout, AVG oder Avast in der Lage, die Malware aufzuspüren. Der Onlinedienst empfiehlt, ein betroffenes Gerät auf die Fabrikeinstellungen zurückzusetzen, um den Schädling zu eliminieren.

Das Hauptverbreitungsgebiet der Malware ist Asien; China, Indien und die Philippinen sind laut Checkpoint die Länder, in denen die meisten Geräte von HummingBad betroffen sind. In Deutschland geht man von rund 40.000 befallenen Geräten aus.

Dieser Beitrag erschien zuerst auf unserem Schwesternportal ELEKTRONIKPRAXIS.

(ID:44191161)