HummingBad rootet Geräte und klickt auf Werbebanner, warnen Sicherheitsforscher. Das bringe den Kriminellen 300.000 US-Dollar im Monat ein. In Deutschland sollen zehntausende Geräte infiziert sein.

Den Sicherheitsforschern von Checkpoint zufolge hat sich der Android-Trojaner HummingBad weltweit mittlerweile auf 85 Millionen Geräten eingenistet. In Deutschland seien 40.000 Smartphones und Tablets betroffen; insgesamt habe es hierzulande über 13 Millionen Angriffsversuche gegeben, schreibt Checkpoint in einer aktuellen Veröffentlichung. Ob ein Gerät infiziert ist, könne man nicht ohne Weiteres erkennen.

Geräte aufsperren

Die Sicherheitsforscher entdeckten die Malware bereits im Februar. Zum damaligen Zeitpunkt soll sich HummingBad ausgehend von Porno-Webseiten per Drive-by-Download verbreitet haben. Ob der Verbreitungsweg aktuell noch der gleiche ist, geht aus der Veröffentlichung nicht hervor. Der Trojaner kann Checkpoint zufolge Android-Geräte unter bestimmten Umständen rooten und so vollen Zugriff erlangen. Für den Root-Vorgang soll HummingBad ähnlich wie der ebenfalls von Checkpoint entdeckte Trojaner Brain Test vorgehen.

Dieser setzt auf verschiedene Exploits zum Hochstufen der Nutzerrechte, um Geräte zu entsperren. 50 Prozent der erfolgreichen Infektionen fanden Checkpoint zufolge auf Geräten mit der KitKat-Version (Android 4.4) statt; 40 Prozent auf Smartphones und Tablets mit Jelly Bean (Android 4.1 bis 4.3).

Werbe-Einnahmen generieren

In erster Linie missbrauchen die Kriminellen kompromittierte Smartphones für Werbe-Klickbetrug; damit generieren sie monatliche Einnahmen von rund 300.000 US-Dollar, erläutern die Sicherheitsforscher. HummingBad soll aber auch Apps installieren und infizierte Geräte zu einem Botnetz zusammenschließen können.

Hinter dem Trojaner steckt Checkpoint zufolge die chinesische Gruppe Yingmob. Neben einem legitimen Werbeanalyse-Unternehmen sollen sie auch Schad-Software entwickeln: Neben HummingBad zeichne Yingmob auch für die iOS-Malware Yispecter verantwortlich.

Checkpoint geht davon aus, dass Yingmob sein zwielichtiges Geschäftsmodell ausbauen könnte und Dritten gegen Bezahlung den Zugriff auf kompromittierte Geräte ermöglicht. So stünden mitunter wirtschaftliche Informationen zum Verkauf: Checkpoint fand die ersten HummingBad-Infektionen auf Smartphones von Angestellten eines großen Unternehmens aus dem Finanz-Sektor.

Quelle: //heise.de/-3254664