Gefahr auf Android

Trojaner-Duo kapert Social-Media-Konten

(Bild: ©synthex - stock.adobe.com)

Der Sicherheitsanbieter Kaspersky hat zwei neuartige Android-Schädlinge entdeckt, die sich über die Smartphones ihrer Opfer Zugriff auf die Konten beliebter sozialer Medien und Messenger-Dienste verschaffen können. Dabei greifen sie Cookies ab, die vom Browser oder der App beispielsweise genutzt werden, um dem Anwender ein erneutes Anmelden zum Konto zu ersparen. Über die gekaperten Konten kann dann allerdings unbemerkt unerwünschter Inhalt verbreitet werden. Betroffene Nutzer würden - ohne es zu wissen - zur Spam- und Phishing-Schleuder, so das Unternehmen in einer Mitteilung vom Donnerstag.

Bei Cookies handelt es sich um Datensätze, über die Webseiten das Verhalten der Nutzer erkennen und ihr Angebot entsprechend anpassen können. So nutzen einige Webseiten Cookies, um den Anwender über eine eindeutige Session-ID zu identifizieren. Dadurch wird ein erneutes Anmelden - etwa bei sozialen Netzwerken - vermieden. Kommen jedoch Dritte wie beispielsweise Cyberkriminelle in den Besitz dieser ID, können sie in fremde Konten eindringen und die Kontrolle darüber übernehmen.

Gefährliches Doppel
Experten von Kaspersky haben nun zwei ähnlich kodierte Trojaner entdeckt, die es auf das Sammeln von Cookies abgesehen haben und von ein und demselben Command-and-Control-Server (C&C) gesteuert werden. Der erste Trojaner verschafft sich auf den Android-Handys seiner Opfer Root-Rechte und überträgt damit die Facebook-Cookies an den C&C-Server. Viele Webseiten haben allerdings Sicherheitsmechanismen eingebaut, die überprüfen, ob etwa ein und derselbe Nutzer innerhalb weniger Minuten von zwei unterschiedlichen Kontinenten aus auf seinen Account zugreifen möchte. 

Hier kommt der zweite Trojaner ins Spiel. Er fungiert als Proxy-Server, mit dem die Sicherheitsmaßnahmen der Webseiten-Betreiber umgangen werden. So erhalten die Cyberkriminellen unbemerkt vollen Zugriff auf den Social-Media-Account des Opfers und können ihn zur Verbreitung unerwünschter Inhalte verwenden. Auch wenn die genauen Ziele der Angreifer laut Kaspersky noch im Dunkeln bleiben, gibt es Hinweise auf den eigentlichen Angriffszweck: Eine auf demselben C&C-Server entdeckte Webseite bewirbt Dienstleistungen zur Verbreitung von Spam über soziale Medien und Messenger-Dienste. Der Sicherheitsanbieter geht daher davon aus, dass die Cookie-Diebe möglicherweise nach Kontozugängen suchen, um Spam und Phishing über der kompromittierten Konten zu verbreiten. 

(Bild: flickr.com/Daniel Sancho http://creativecommons.org/licenses/by/2.0)

Angriff nur schwer zu erkennen
„Die Kombination von zwei Angriffsformen eröffnet Cookie-Dieben die Möglichkeit, auf Nutzer-Accounts zuzugreifen, ohne dabei Verdacht zu erregen“, fasst Igor Golovin, Malware-Analyst bei Kaspersky, zusammen. „Es handelt sich dabei um eine noch neuartige Gefahr, denn bislang wurden erst etwa 1000 Opfer angegriffen. Vermutlich wird die Zahl der Opfer zukünftig steigen, zumal die Angriffe von den betroffenen Webseiten nur sehr schwer erkannt werden können. Auch wenn wir normalerweise beim Surfen im Web Cookies kaum Beachtung schenken, stellen sie doch eine weitere Variante der Verarbeitung persönlicher Informationen dar. Immer dann, wenn unsere Daten online gesammelt werden, sollten wir besonders aufmerksam sein.“

Cookies regelmäßig löschen
Der Sicherheitsanbieter empfiehlt Nutzern daher, bei den auf Android-Smartphones genutzten Browsern den Zugriff auf Cookies durch Dritte zu blockieren und Daten nur bis zum Ende der Browsernutzung zu speichern. Generell, so das Unternehmen, sollten Cookies regelmäßig gelöscht werden.