{"id":217219,"date":"2019-04-19T02:38:15","date_gmt":"2019-04-19T00:38:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217219"},"modified":"2019-04-19T02:38:15","modified_gmt":"2019-04-19T00:38:15","slug":"android-schwachstelle-trojaner-liest-whatsapp-mit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/19\/android-schwachstelle-trojaner-liest-whatsapp-mit\/","title":{"rendered":"Android-Schwachstelle: Trojaner liest WhatsApp mit"},"content":{"rendered":"

Die Virenanalysten von Doctor Web haben den Trojaner Android.InfectionAds.1<\/em> entdeckt und analysiert. Dieser nutzt mehrere Android-Schwachstellen aus, um beliebte Apps wie WhatsApp oder SwiftKey zu infizieren.<\/p>\n

<\/p>\n

Um den Trojaner auf die Ger\u00e4te zu bekommen, betten Cyber-Kriminelle ihn zun\u00e4chst in harmlos anmutende Software ein. Doctor Web entdeckte Android.InfectionAds.1 dabei in folgenden Apps: HD Camera, Tabla Piano Guitar Robab, Euro Farming Simulator 2018 und Touch on Girls. <\/p>\n

Beim Starten einer der oben genannten Apps extrahiert der Trojaner Hilfsmodule, welche die kritische Android-Schwachstelle CVE-2017-13315 ausnutzen. CVE-2017-13315 geh\u00f6rt dabei zur Klasse der Schwachstellen, die als \u201eEvilParcel\" bezeichnet werden. Ihre Systemkomponenten enthalten einen Fehler, der beim Datenaustausch zwischen Apps und Betriebssystem zu deren Modifikation f\u00fchren kann. So kann der Trojaner Aktionen im Betriebssystem ausf\u00fchren, z.B. die unbemerkte Installation neuer Apps. <\/p>\n

Neben EvilParcel nutzt der Trojaner auch eine weitere Android-Schwachstelle namens Janus (CVE-2017-13156) aus. \u00dcber diese Systeml\u00fccke infiziert er bereits installierte Apps, indem er seine Kopie in diese Apps einbettet. Wenn der Trojaner eine App infiziert, f\u00fcgt er seine Komponenten in die apk-Dateistruktur ein, ohne ihre digitale Signatur zu \u00e4ndern. Anschlie\u00dfend werden anstelle der Originale angepasste Versionen der Apps installiert. Da die digitale Signatur der infizierten Dateien aufgrund der Schwachstelle identisch bleibt, werden die Apps als eigene Updates installiert. So funktionieren die gehackten Apps weiterhin einwandfrei, enthalten aber eine Kopie von Android.InfectionAds.1, die mit diesen unmerklich interagiert. <\/p>\n

Diese Apps konnten vom Trojaner infiziert werden <\/h2>\n<\/p>\n

Sobald eine App infiziert ist, stehen dem Trojaner deren Daten zur Verf\u00fcgung. Bei WhatsApp hat er somit Zugriff auf die Konversationen, bei einem Browser auf die gespeicherten Benutzernamen und Passw\u00f6rter. In folgenden Apps konnten die Malwarespezialisten von Doctor Web eine der untersuchten Versionen von Android.InfectionAds.1 finden:<\/p>\n