Dogspectus: Erste Android-Geräte im Vorbeisurfen mit Exploit-Kit verseucht

Dogspectus, auch Cyber Police genannt, infiziert Android-Geräte ohne Zutun des Nutzers beim bloßen Besuch einer Webseite. Die Ransomware wird dabei über ein Exploit-Kit verteilt. Das macht es wahrscheinlich, dass sich solche Angriffe in Zukunft häufen.

In Pocket speichern vorlesen Druckansicht 304 Kommentare lesen
Dogspectus: Erste Android-Geräte im Vorbeisurfen mit Exploit-Kit verseucht

(Bild: Blue Coat)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Zum ersten Mal haben Sicherheitsforscher beobachtet, dass Android-Geräte in freier Wildbahn durch den reinen Besuch einer Webseite ohne Zutun des Nutzers mit Schadcode infiziert wurden. Der Erpressungstrojaner Dogspectus gelangte über manipulierte Werbung auf die Geräte. Besonders interessant ist auch der Infektionsweg über eine Ex-Zero-Day-Lücke aus dem Fundus des Hacking Teams und das Towelroot-Tool. Da der eigentliche Schadcode wohl über ein Exploit-Kit nachgeladen wird ist zu erwarten, dass sich Kriminelle in Zukunft verstärkt dieser Methode bedienen, um Android-Anwender anzugreifen.

Entdeckt wurde der Angriff von Forschern der Sicherheitsfirma Blue Coat. Eines ihrer Testgeräte im Labor wurde infiziert, als dies eine Webseite aufrief und Werbung angezeigt bekam. Die mit JavaScript versehene Werbung lud eine Linux-ELF-Binärdatei auf das Gerät, die ausgeführt wird und sich mit dem Towelroot-Exploit Systemrechte verschafft. Dann lädt das Exploit-Kit den eigentlichen Schadcode in Form einer APK nach und installiert ihn – in diesem Fall eine einfache Ransomware, die den Bildschirm des betroffenen Gerätes im Namen der "American National Security Agency" sperrt und ein Lösegeld fordert.

Da der Angriff eine Lücke aus dem Hacking-Team-Leak verwendet, um aus der Sandbox des Android-Browsers auszubrechen, sind nur Geräte mit älteren Android-Versionen betroffen. In aktuellen Android-Ausgaben ist die Lücke längst gestopft. Das Tablet bei Blue Coat hatte zum Zeitpunkt der Infektion Cyanogenmod 10 mit Android 4.2.2 im Einsatz. Laut Googles Statistiken über die Verbreitung von Android-Geräten würde der Angriff damit weltweit noch etwa 10 Prozent aller Android-Geräte betreffen. Vor allem vernetzte Video-Player und Smart-TVs, die auf Android laufen und zum Teil keine Updates mehr bekommen, könnten Opfer des Schädlings werden.

Beunruhigender als die vorliegende Infektion ist allerdings, dass die Verbreitung über ein Exploit-Kit eine kommerzielle Dimension ins Spiel bringt, die darauf hindeutet, dass Kriminelle sich verstärkt Android-Geräten zuwenden könnten. Bis jetzt waren Android-Nutzer relativ sicher vor Malware, wenn sie die Software-Installation aus Drittquellen deaktiviert hatten und sich beim Download von Programmen auf Googles App-Store beschränkten. Diese Sicherheit könnte der Vergangenheit angehören, wenn der Dogspectus-Fall unter Ganoven Schule macht. (fab)