Wer kennt das bei seinem Windows-Rechner nicht: Plötzlich fängt er an, immer langsamer zu werden, sich selbständig runter zu fahren und andere abstruse Dinge gegen den Willen des Nutzers zu tun. Und das sind nur die offensichtlichen Dinge - was im Hintergrund und damit vom Nutzer unbemerkt passiert, ist meist noch viel schlimmer.
Das Problem lässt sich dann häufig in Form eines Virus oder Trojaners identifizieren, in seltenen Fällen versteckt und widersetzt sich die Schad-Software aber sogar so gut, dass sie kaum noch zu entfernen ist. Dann hilft nur noch Formatieren und Neuaufspielen des Betriebssystems - glücklich diejenigen, die auf eine virenfreie, ältere Sicherung zurückgreifen können, wodurch meist nur ein kleiner Teil an persönlichen Daten verloren ist. Bei einem Smartphone kann das aber deutlich schwieriger werden, da das Neuaufspielen des Betriebssystems nicht ohne Weiteres möglich ist.
Doch genau solch mächtige Schad-Software hat Kaspersky Lab nun in Aktion gefunden. Der Backdoor.AndroidOS.Obad.a genannte Trojaner ist so weit entwickelt, dass er nicht mehr mit einem Virenkiller entfernt werden kann, sobald er einmal Administratorenrechte erhalten oder selbst beschafft hat - zumindest nicht ohne Root-Zugriff. Er verschleiert seinen Aufenthaltsort so geschickt, dass er schlicht kaum auffindbar ist, denn unter den Programmen, die als Administrator ausgeführt wurden, ist er etwa nicht zu finden. Dafür nutzt er zwei neue Sicherheitslücken in Android und eine in der populären DEX2JAR-Software, mit der Entwickler und Analysten Android-Apps im APK-Format in das Java-Format (JAR) konvertieren können.
Im Hintergrund informiert er bei Datenverbindung mit dem Internet heimische Server über wichtige Informationen zum Nutzer des befallenen Smartphones wie die MAC-Adresse, Netzbetreibername, IMEI-Nummer, Kontoguthaben des Nutzers und Telefonnummern. Nach erfolgreicher Verbindung beginnt der Trojaner dann sein eigentlich schädliches Treiben, indem er etwa Textnachrichten an Premiumdienste versendet, Dateien vom heimischen Server herunterlädt und installiert, eine Liste der verwendeten Apps und Nutzerkontaktdaten an den Server schickt oder bestimmte Verbindungen im Internet aufbaut. Zudem versucht er, sich selbst über Bluetooth-Verbindungen auch auf weiteren Geräten einzunisten.
Damit das bunte Treiben des Trojaners nicht auffällt, kann er sogar ein- und ausgehende SMS analysieren und auf bestimmte Schlüsselwörter selbständig reagieren, indem sie gelöscht werden oder das Display für kurze Zeit gesperrt wird, um etwa Kontakt zum eigenen Server aufzunehmen und weitere, teils ferngesteuerte Gegenmaßnahmen einzuleiten. Zum Glück sei Obad.a, der von der Komplexität viel eher an Windows-Schädlinge als an Android-Trojaner erinnert, derzeit noch nicht weiter verbreitet, so Kaspersky Lab.
Das gilt für einen anderen Trojaner, den McAfee bislang in Südkorea und Deutschland gesichtet hat, nicht. Damit versuchen Cyberkriminelle, per Phishing-Mails- und -SMS, Nutzer im Namen der Postbank zum Download von neuer "Banking-Software" oder Anti-Viren-Apps zu bewegen, die für das weitere Online-Banking unabdingbar seien. Statt der erwarteten App laden sie sich dann natürlich die Schad-Software herunter.
In Südkorea werden sogar ganze Online-Banking-Apps nachgebaut, um anschließend persönliche Daten abfragen zu können. Danach werden auch hier ohne Wissen des Nutzers Premium-SMS verschickt. In Deutschland werden angeblich sogar ankommende mTANs abgefangen und an Server der Kriminellen geschickt, die anschließend das Konto der Besitzer des befallenen Smartphones leeren.