Ein Trojaner aus Google-Anzeigen

Sie können sich einen Trojaner einfangen, selbst wenn Sie nur legitime Webseiten besuchen. Dieser Post erklärt, wie das geschehen kann und wie Sie sich schützen können.

Wenn Sie keine verdächtigen Seiten besuchen, können Sie sich nicht mit Malware infizieren, nicht wahr? Nun, das stimmt so nicht. Leider sind die, die keine unzuverlässigen E-Mail-Anhänge öffnen, Pornoseiten vermeiden und keine Apps von inoffiziellen Seiten herunterladen, nicht ausreichend geschützt.

A Trojan from Google ads

Neue Entwicklungen deuten darauf hin, dass Malware selbst auf absolut legitimen Seiten gefunden werden kannn, wie 318.000 tausend Android-User herausfanden, als ihre Android-Geräte vom Banking-Trojaner Svpeng.q von Google AdSense-Anzeigen angegriffen wurden.

Google AdSense ist weltweit das größte Ad-Netzwerk, weshalb viele Kriminelle davon träumen, einen Weg zu finden, um mit dem Netzwerk ihre schädlichen Programme auf der ganzen Welt zu verbreiten. Dem Entwickler von Svpeng.q gelang dies.

Von Kriminellen gepostete Banner starteten automatische Downloads des Installationspakets von Svpeng.q mithilfe eines verborgenen Skripts. Normalerweise warnt der Chrome-Browser User, wenn eine potentiell gefährliche Datei heruntergeladen wird, also nutzten Kriminelle eine spezielle Funktion, damit das Gerät den Trojaner teilweise herunterlud; so konnte er unbemerkt durchschlüpfen.

Das Script wurde so eingestellt, dass es nur dann agierte, wenn es auf Geräten mit einem Touchscreen und nur über den Browser Chrome gestartet wurde. So konnten Kriminelle das anvisierte Publikum auf User von Android-Tablets und -Smartphones verfeinern — da der Trojaner Svpeng.q für Android geschrieben wurde.

Sie können in unserem ausführlichen Bericht auf Securelist mehr über Svpeng.q nachlesen. Lange Rede, kurzer Sinn, er unterscheidet sich nicht sehr von anderen Banking-Trojanern; seine Hauptfunktion ist es, Interfaces von mobilen Banken mit einer falschen Benutzeroberfläche zu verdecken, Daten von Kreditkarten zu kopieren und die Daten dann an Kriminelle zu verschicken. Sie wiederum verwenden ihn, um die Opfer zu bestehlen.

Wir teilten unsere Ergebnisse Google mit, und Entwickler erstellten einen Patch, mit dem das gesamte Google Chrome ausgebessert wurde, durch das der Trojaner Sicherheitsbenachrichtigungen umgehen konnte.

Es muss erwähnt werden, dass Sie, wenn Sie Svpeng.q herunterladen, nicht sofort infiziert werden. Sie müssen ihn installieren und der Trojaner tut sein Bestes, um Sie zu täuschen: So kann die Installationsdatei einen Namen, wie Android_update_6.apk oder Instagram.apk, usw. tragen. Diese Taktik scheint gut für Cyberkriminelle zu funktionieren.

Wie Sie sich vor Trojanern, die sich in Ads verbergen, schützen

Selbst legitime Seiten können Sie unwissentlich einem Risiko aussetzen. Um sich zu schützen, folgen Sie diesem Leitfaden:

1. Öffnen Sie niemals Dateien, von denen Sie nicht wissen, wie sie auf Ihr Gerät gekommen sind. Nur weil eine Datei android_update.apk heißt, bedeutet das nicht, dass sie ein Systemupdate enthält. Sie finden heraus, ob das System ein legitimes Update hat, indem Sie die Geräteinformationen unter Einstellungen überprüfen.

2. Genehmigen Sie keine Installation von Apps von Stores Dritter. Jedes Android-Gerät enthält diese Einstellung. So stoppt das System eine Installation solcher Pseudo-Updates, sollten Sie versehentlich eingestimmt haben.

3. Installieren Sie echte Updates, sobald sie zur Verfügung stehen. Aktualisieren Sie außerdem so bald wie möglich Google Chrome auf all Ihren Android-Geräten. Ein Update geht schnell und kann Ihnen Zeit, Ärger und sogar Geld sparen.

4. Verwenden Sie Antivirusschutz auf all Ihren Geräten. In Fällen wie diesem kann eine Echtzeit-Sicherheitslösung den User schützen – im Gegensatz zu einem On-Demand-Antivirus-Scanner, der manuell gestartet werden muss. Svpeng.q weiß, wie die Prozesse von Sicherheitslösungen abgebrochen werden können, also würde der Scanner erst gar nicht gestartet werden. Die Version von Kaspersky Antivirus & Security für Android hingegen erkennt Svpeng.q als Trojan.Banker.Androidos.Svpeng.Q — und blockiert ihn einfach.

Tipps