Modifizierter Android-Trojaner NotCompatible kritisch auch für Unternehmensnetzwerke

SicherheitZum Wochenende noch eine kleine Sicherheitsmeldung für Android. Sicherheitsforscher von Lookout verfolgen die Entwicklung des Android-Trojaners NotCompatible. Die letzte Version hat offenbar das Zeugs, auch Unternehmensnetzwerke anzugreifen.


Anzeige

Die erste Version des Android-Trojaners NotCompatible.a wurde bereits 2012 entdeckt und verursachte noch keine Schäden. Nun ist, laut diesem Artikel in Security Week, die Variante NotCompatible.c mit neuen “Features” in den Schadroutinen aufgetaucht. Laut Lookout haben die Programmierer von NotCompatible.c wohl Funktionen hinzugefügt, die die Aufspürung erschweren soll. Der Trojaner verwendet eine Peer-to-peer (P2P) Kommunikation zwischen infizierten Geräten. Dies macht den Trojaner widerstandfähig bzw. immun gegenüber IP- und DNS-Blocking. Zudem kann der Trojaner mehrere Command & Controlserver (C&C) ansprechen, die zudem noch geographisch in verschiedenen Regionen laufen.  Das verhindert, dass das Netzwerk ausfällt, falls lokale Strafverfolgungsbehörden in einem Land einen Server übernehmen und abschalten.

Der Datenverkehr mit den C&C-Servern wird zudem verschlüsselt und über Proxys geleitet. Dies macht es schwierig, die Datenströme zu identifizieren und zu verfolgen. Der Trojaner wird über Spam-Mails und kompromittierte Webseite verteilt. Zur Verbreitung werden keine Sicherheitslücken, sondern Social Engineering-Tricks verwendet. Der Anwender muss also die App selbst auf dem Android-Gerät installieren. Den Entwicklern des Trojaners stehen offenbar auch umfangreiche Möglichkeiten zum Versenden von Spam-Mails zur Verfügung. Laut den Sicherheitsforschern liegt die Erfolgsrate der Phishing-Angriffe in Spitzenzeiten über 1 %.

Bisher wurden zwar noch keine Angriffe auf Unternehmensnetzwerke festgestellt. Es gibt aber wohl hunderte von Netzwerken, in denen Geräte mit dieser Malware unterwegs sind. Sobald ein solches Gerät in einem Unternehmensnetzwerk in Betrieb genommen wird, haben die Besitzer des von NotCompatible benutzten Botnetzes Zugriff auf die Infrastruktur des Firmennetzwerks. Weitere Details lassen sich hier nachlesen.

Update: Der Blog-Beitrag wurde von mir vor ein paar Tagen geschrieben. Zwischenzeitlich gibt es Hinweise, dass täglich 20.000 Android-Geräte neu infiziert werden.


Anzeige
Dieser Beitrag wurde unter Android, Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.