Android-Trojaner “Certificate.apk” macht die Runde
Die Sicherheits-Experten von F-Secure warnen vor einem Android-Trojaner (Trojan:Android/Pincer.A). Anwender sollten auf keinen Fall eine Datei installieren, die sich “Certificate.apk” nennt.
Das Mistvieh kann unter anderem SMS-Nachrichten weiterleiten und andere Befehle ausführen, die es von einem Server erhält – beziehungsweise dessen Betreiber. Auf folgende Kommandos hört Trojan:Android/Pincer.A:
- start_sms_forwarding
- start_call_blocking
- stop_sms_forwarding
- stop_call_blocking
- send_sms
- execute_ussd
- simple_execute_ussd
- stop_program
- show_message
- delay_change
- ping
Der Befehl show_message kann dem Anwender etwas auf dem Bilschirm anzeigen und so dessen Aufmerksamkeit erregen. Die IMEI dient dem Schadcode-Operator als Identifizierungs-Möglichkeit. Andere gesammelte Informationen sind Telefonnummer, Seriennummer des Geräts, Smartphone-Modell, Mobilfunkbetreiber und Version des Betriebssystems.
Pincer scheint auch erkennen zu können, wenn er innerhalb eines Emulators läuft. Somit will die Malware sein wahres Vorhaben verschleiern.
Das jetzt nur am Paketnamen festmachen zu wollen, ist doch ein wenig...hm. Dann gibt's eben simpelste Variationen.
Der Name ist sicher beliebig. Man sollte halt nur von vertrauenswürdiger Stelle eine .apk installieren und auch immer auf die Berechtigungen schauen. Ein Großteil der Schadsoftware wäre denn vom Tisch.
Klar ist der Name beliebig. In dem Fall wurde es halt unter dem Namen gefunden und die App installiert sich auch als Certificate. Bei F-Secure gibt es SHA-Signaturen, mit denen sich die Datei identifizieren lässt.