Eine Schadsoftware namens Guerilla

Cyberkriminelle infizieren Millionen Android-Geräte schon vor dem Kauf mit Malware

Uhr
von René Jaun und yzu

Einer Hackergruppe ist es gelungen, mindestens 9 Millionen Android-Geräte noch vor deren Auslieferung an den Endkunden mit Malware zu infizieren. Die Schadsoftware namens Guerilla kann je nach Befehl der Cyberkriminellen etwa eingehende Nachrichten abfangen oder Passwörter ausspionieren.

(Source: Jonas Leupe / Unsplash)
(Source: Jonas Leupe / Unsplash)

Ob durch Sicherheitslücken, Phishing oder physische Angriffe – in den meisten Fällen landet Malware auf einem Gerät, nachdem es gekauft und vom Nutzer oder der Nutzerin in Betrieb genommen wurde.

Nicht so ist es im Fall der Schadsoftware Guerilla: Diese befindet sich nämlich bereits auf Android-Geräten, bevor diese verkauft werden. Dies berichtet "Bleeping Computer", welches sich auf eine Untersuchung des Cybersecurity-Anbieters Trend Micro beruft.

Demnach steckt hinter der Schadsoftware eine Hackerbande namens Lemon Group, die sich auch Durian Cloud SMS nennt. Die Gruppe sagt von sich, sie habe annähernd 9 Millionen Geräte noch vor deren Auslieferung mit Guerilla infiziert.  Bei den Geräten handelt es sich vorwiegend um Smartphones, aber auch Smartwatches und TV-Geräte diverser Hersteller. Tatsächlich bestätigt Trend Micro, Millionen infizierter Geräte entdeckt zu haben. Die meisten davon befinden sich in Südostasien und in Osteuropa, allerdings handle es sich um ein weltweites Phänomen.

Cookies abgreifen und SMS verschicken

Welche Geräte und welche Hersteller konkret betroffen sind, sagt Trend Micro nicht. Auch erläutert das Unternehmen nicht, wie die Gruppe die Android-Firmware mit Guerilla infizieren konnte. Mögliche Wege seien Angriffe auf die Lieferkette, kompromittierte Software von Drittanbietern, ein kompromittierter Firmware-Aktualisierungsprozess oder das Einschleusen von Insidern in die Produktherstellungs- oder Vertriebskette, heisst es bei Bleeping Computer.

Ist die Schadsoftware einmal aktiv, lädt sie auf Befehl der Hackergruppe weitere Funktions-Plugins nach. Damit kann die Malware dann beispielsweise Passwörter ausspionieren, SMS-Nachrichten versenden oder eingehende Nachrichten abfangen, aufdringliche Werbung auf dem Gerät anzeigen, Cookies des Webbrowsers abgreifen (was wiederum die Übernahme von Nutzerkonten ermöglicht), oder als Internet-Proxy Datenverkehr der Hacker weiterleiten. Still und leise könne die schädliche Software auch Apps installieren oder entfernen, fügt Trend Micro an.

Unlängst versuchten Cyberkriminelle, Minecraft-Fans mit angeblichen Android-Versionen des populären Spiels zu täuschen. Was die Opfer nicht mitkriegen: Im Hintergrund laden die Fake-Spiele unbemerkt ein Schadprogramm auf die Handys. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

 

 

Webcode
gxr5Wa7V

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter