Ein infizierter Rechner, eine aktivierte Developer-Option im Android-Smartphone und schon kann die von Sophos beschriebene Malware Curveball SMS-Nachrichten mitlesen. Zum Beispiel mTan-Nummern, wie sie für die Absicherung von Transaktionen beim Online-Banking verwendet werden. Der PC dient dabei quasi als Sprungbrett. Dies verhindert, dass die bösartige App im Google Play Store entdeckt und gelöst wird.
Curveball kann Autorisierungscodes, die per E-Mail oder SMS verschickt werden, abfangen und unbemerkt an die Hintermänner der Attacke weiterleiten. Das eröffnet kriminellen Hackern einen Weg in Bankkonten und Accounts, auch wenn diese – wie in Deutschland üblich – durch einen zweiten Faktor (mTAN) besonders geschützt sind. Diese Funktion ist per se nichts Neues und wird beispielsweise von Zitmo (Zeus in the Mobile) schon seit langem verwendet.
Neu ist der Verbreitungsweg: Üblicherweise führt der Weg einer Malware auf Android-Handys über den Google Play Store oder eine andere, nicht von Google kontrollierte App-Sammlung. Damit Curveball ans Ziel kommt, muss zudem die Option "Developer" auf dem Gerät aktiviert sein. Ist auch die Funktion "Android debugging" aktiviert, besteht über USB Zugriff auf die Android Debug Bridge (ADB): Über diese lassen sich Apps auf dem Smartphone zu installieren, ohne das der Besitzer darüber benachrichtigt wird. Sogar wenn die Vordertür für nicht-überprüfte Apps geschlossen ist, steht diese Hintertür per USB offen, berichtet Sophos.
Die Malware installiert auf einem schlecht gesicherten Windows-Computer einen angeblichen "Service for adobe client product" mit dem Namen "Object Update Monitor", lädt mehrere Dateien nach und installiert das heruntergeladene Android-Schadprogramm. Verwendet werden auch Programme mit den Namen Samsung und LG, welche die Verbindung zu Samsung- und LG-Geräten per USB herstellen.
Wird der Schädling installiert, erzeugt er unter anderem ein falsches Icon, das dem des Google Play Stores ähnlich sieht. Anschließend beginnt die bösartige App mit dem Mitlesen und unbemerkten Weiterleiten von SMS.
Sophos rät Nutzern, die ADB-Funktion auszuschalten oder zumindest das Andriod debugging abzuschalten. Zudem sollte "USB debugging notify" immer aktiv sein. Auch sollte der mit dem Android-Smartphone verbundene Rechner stets mit allen Softwareupdates versorgt werden und natürlich geht’s nicht ohne Virenscanner und Firewall. Letztendlich schadet wahrscheinlich auch eine Sicherheitssoftware auf dem Smartphone nicht.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.