Android-Trojaner spioniert nur bei Nicht-Russen

Der Schädling Mazar kommt per Downloadlink in einer SMS oder MMS aufs Gerät und kann es dann umfassend kontrollieren. Doch wenn er Russisch als eingestellte Sprache erkennt, wird er handzahm.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 58 Beiträge

(Bild: dpa, Britta Pedersen)

Von
  • Axel Kannenberg

Die Sicherheitsfirma Heimdal hat eine Android-Malware in freier Wildbahn entdeckt, die sich auf infizierten Geräten Administrator-Rechte verschaffen und Browser-Sessions kapern kann. Der Mazar genannte Trojaner verbreitet sich dabei über SMS- und MMS-Nachrichten, die einen Link zu einer vermeintlichen weiteren MMS-Botschaft enthalten – tätsächlich verweist der Link auf die .apk-Datei des Trojaners.

Neben dem Fingertipp auf den Link müssen Nutzer zuvor aber auch noch die Installation von Anwendungen aus unbekannter Herkunft erlaubt haben. Einmal angekommen, installiert der Trojaner zunächst im Hintergrund eine Anwendung für den Anonymisierungsdienst TOR. Über das Onion-Netz kommuniziert der Trojaner dann offenbar mit seinen Kontroll-Servern.

Hat es sich Mazar einmal bequem gemacht, bietet er zahlreiche Möglichkeiten, Unheil anzurichten: Er kann zum Beispiel Anrufe stoppen, kostenpflichtige Premium-Dienste abonnieren, für die Zweifaktor-Identifizierung gedachte SMS abgreifen und beliebig Daten löschen. Ebenfalls ist das quelloffene Tool "Polipo Proxy“ Teil der Malware. Damit sollen sich Man-in-the-Middle-Angriffe auf Browser-Sessions durchführen lassen.

Bemerkenswert ist auch, dass die Malware auf die Ländereinstellungen auf dem infizierten Gerät achtet. Ist Russisch als Sprache eingestellt, schaltet sich Mazar laut Heimdal umgehend ab. Recorded Future hatte bereits im vergangenen Jahr die Malware als Angebot in einschlägigen russischen Foren entdeckt, allerdings noch nicht mit allen aktuell vorhandenen Fähigkeiten.

Inwieweit sich Mazar international verbreitet hat, ist noch unklar – gegenüber der BBC sprach Heimdal von mindestens 100.000 Geräten in Dänemark, auf denen die SMS mit dem gefährlichen Link eingetrudelt sei. Getestet habe man zudem nur auf Smartphones mit Android 4.4 (Kitkat). Ältere Android-Versionen dürften Heimdal zufolge aber auch gefährdet sein. (axk)