Trojaner nutzt Android-Schwachstelle aus und liest WhatsApp-Konversationen
Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1 entdeckt und analysiert. Dieser nutzt mehrere Android-Schwachstellen aus, um beliebte Apps wie WhatsApp oder SwiftKey zu infizieren. Um den Trojaner auf die Geräte zu bekommen, betten Cyber-Kriminelle ihn zunächst in harmlos anmutende Software ein. Doctor Web entdeckte Android.InfectionAds.1 dabei in folgenden Apps: HD Camera, Tabla Piano Guitar Robab, Euro Farming Simulator 2018 und Touch on Girls. Beim Starten einer der oben genannten Apps extrahiert der Trojaner Hilfsmodule, welche die kritische Android-Schwachstelle CVE-2017-13315 ausnutzen. CVE-2017-13315 gehört dabei zur Klasse der Schwachstellen, die als „EvilParcel“ bezeichnet werden. Ihre Systemkomponenten enthalten einen Fehler, der beim Datenaustausch zwischen Apps und Betriebssystem zu deren Modifikation führen kann. So kann der Trojaner Aktionen im Betriebssystem ausführen, z.B. die unbemerkte Installation neuer Apps. Neben EvilParcel nutzt der Trojaner auch eine weitere Android-Schwachstelle namens Janus (CVE-2017-13156) aus. Über diese Systemlücke infiziert er bereits installierte Apps, indem er seine ...
Weiterlesen
Doctor Web entdeckt neuen Mining-Trojaner für Linux
Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist verbreiteten kriminellen Machenschaften. Das Team von Doctor Web entdeckte einen Mining-Trojaner, welcher in der Lage ist, Linux Computer zu infizieren. Der Schädling kann darüber hinaus auch weitere Netzwerkgeräte befallen und die auf einem PC installierte Virenschutzsoftware löschen.   Der Trojaner, welcher als Linux.BtcMine.174 in die Dr.Web Virendefinitionsdatei eingetragen wurde, stellt das in der sh-Sprache geschriebene Skript dar und enthält einen über 1.000 Zeilen langen Code. Der Schädling besteht aus mehreren Komponenten. Beim Starten prüft der Trojaner die Verfügbarkeit des Servers, von dem weitere böswillige Module heruntergeladen werden können. Anschließend sucht er nach einem Verzeichnis mit Schreibprivilegien, in dem diese Module platziert werden. Danach wird das Skript ins vordefinierte Verzeichnis verschoben und startet als Daemon. Dafür nutzt der Trojaner das Tool nohup. Wenn das Tool im System nicht verfügbar ist, lädt er das Toolpaket coreutils mit dem bereits erwähnten nohup-Tool herunter. ...
Weiterlesen
Sicheres Online-Banking – Der Doctor Web Security-Tipp des Monats November
Rund 42 Millionen Menschen in Deutschland nutzen Online-Banking. Diese hohe Zahl ist keineswegs überraschend, denn die vielen Vorzüge liegen auf der Hand: Bankkunden können im Internet ihre Geschäfte jederzeit, ortsunabhängig und wesentlich schneller erledigen. Doch aufgrund von Phishing, Spyware und vor allem Bankentrojanern ist ein Teil der Bevölkerung nach wie vor skeptisch, seine Bankgeschäfte im Internet zu erledigen.   Doctor Web zeigt daher einfach umzusetzende Maßnahmen, wie Nutzer es Betrügern maximal erschweren, sensible Daten zu stehlen und so die Sicherheit beim Online-Banking erhöhen.   – Aktuelles Betriebssystem: Aufmerksamkeit und Technik sind beim Banking im Netz die entscheidenden Stichworte: Nutzer, welche die aktuelle Version des Betriebssystems und des Browsers verwenden und Virenscanner sowie Sicherheitsupdates regelmäßig durchführen, reduzieren das Risiko signifikant. Worauf Nutzer ebenfalls achten sollten: Die Banking-Webseiten beginnen in der Regel mit „https“ anstatt „http“. Nur dann handelt es sich um eine verschlüsselte Datenleitung. Ist dies nicht der Fall, sollten Nutzer ...
Weiterlesen
Hacker erbeutet 24.000 Dollar aus Krypto-Geldbörsen – Der Doctor Web Virenrückblick Oktober 2018
Im Oktober 2018 stand vor allem ein Cyber-Krimineller im Fokus, der sich auf Kryptowährungen spezialisiert hat. Eine groß angelegte Recherche der Doctor Web Virenexperten förderte zutage, dass dieser rund 24.000 Dollar erbeutete, indem er das Geld aus Krypto-Geldbörsen von ca. 10.000 Nutzern stahl. Der Cyber-Kriminelle, der auch unter den Namen Investimer, Hyipblock und Mmpower bekannt ist, setzt mit Stealern, Downloadern, Encodern und Minern ein breites Arsenal an böswilligen Tools ein. Krypotwährungen stellen dabei sein Spezialgebiet dar, mit verschiedenen Methoden stiehlt er das digitale Geld seiner Opfer. Er entwickelt u. a. Webseiten von nicht-existierenden Kryptobörsen, Mining-Farms, Partnerprogrammen oder Online-Lotterien. Von diesen Seiten sollen sich die Nutzer einen vermeintlichen Client herunterladen, welcher allerdings einen Trojaner in sich trägt. Dieser installiert dann einen sogenannten „Stealer“ auf dem Rechner des Opfers, welcher sensible Daten des infizierten Systems stiehlt. Mit diesen Daten kann Investimer dann das Geld aus den digitalen Geldbörsen der Opfer entwenden. Die ...

Weiterlesen
Neue Dr.Web 12 Version für Windows veröffentlicht
Der IT-Sicherheitsspezialist Doctor Web präsentiert die neue Dr.Web 12 Version für Windows, welche sowohl Privatnutzer als auch Unternehmen schützt. Dr.Web 12 ist ein umfassendes Produktupdate, welches mit vielen Innovationen, Verbesserungen und einem neuen Layout ausgestattet ist. Di:e neue Version ist dank verbesserter signaturbasierter Erkennung und überarbeiteter Dr.Web Cloud in der Lage, noch mehr Bedrohungen zu entdecken, ohne dabei auf die eigene Virendatenbank zuzugreifen. So wird der Ausführung des Schadcodes vorgebeugt und die Malware noch schneller beseitigt.   Die Neuerungen von Dr.Web 12 im Überblick:   Neue Herangehensweise bei signaturbasierter Erkennung Mit Dr.Web 12 werden alle Versuche von Malware, den Schadcode zu starten, rechtzeitig unterbunden und mit Hilfe der Signaturdatenbank geprüft. Diese Methode funktioniert in allen Subsystemen und Schutzkomponenten. Auch die Heuristik-Algorithmen wurden grundlegend überholt, damit sie „körperlose“ Bedrohungen (Trojaner,die ihren Code nicht als Datei auf dem Zielcomputer speichern) entdecken können. Der bekannte Trojaner WannaCry wurde so mithilfe der Dr.Web Signatur ...
Weiterlesen
Doctor Web Analysten entdecken Trojaner in gefälschter VPN Client-App
Die Sicherheitsanalysten von Doctor Web haben den Download-Trojaner Android.DownLoader.818.origin im Google Play Store in der VPN Client-App „Turbo VPN Unlimited Free VPN & Proxy“ gefunden. Der Name der bösartigen App ähnelt sehr dem beliebten VPN-Client „Turbo VPN Unlimited Free VPN & Fast Security VPN“ des Unternehmens Innovative Connecting, das nichts mit dieser Fälschung zu tun hat. Cyber-Kriminelle verwenden Download-Trojaner, um weitere Trojaner schnell zu verbreiten. Die Fake-App wurde insgesamt 11.000 Mal heruntergeladen, ehe Doctor Web Google benachrichtigen konnte. Die Malware wurde anschließend aus dem Store entfernt.  Bereits beim Starten der App forderte Android.DownLoader.818.origin Lese- und Schreibrechte sowie Administratorprivilegien an. Nachdem ihm der Nutzer diese gewährt hatte, löschte er den Shortcut vom Hauptbildschirm des Geräts und konnte daher nicht mehr gezielt gestartet werden. Im Hintergrund aber lud die Malware eine externe apk.Datei herunter und speicherte diese ab. Im nächsten Schritt wurde der Nutzer dazu aufgefordert, diese Datei zu installieren.    Die Sicherheitsanalysten von Doctor Web entdeckten ...
Weiterlesen
Sicheres Smartphone? Safe! – Der Doctor Web Security-Tipp des Monats Oktober
Das Smartphone ist für viele Menschen das wichtigste technische Gerät in ihrem Alltag. Dort werden sowohl private als auch arbeitsrelevante Inhalte gespeichert. Gerade deswegen ist es für Hacker und Cyber-Kriminelle besonders interessant. Nichtsdestotrotz verzichten viele Nutzer aus Bequemlichkeit auf Sicherheitsmaßnahmen und schützen ihr Gerät nicht ausreichend. Doctor Web gibt hier einige schnell umzusetzende Tipps, die aber bereits eine große Wirkung haben: Bildschirmsperre einrichten: Neben der PIN, die das Handy beim Starten entsperrt, empfiehlt es sich, unbefugten Nutzern den Zugang bereits am ersten Einfallstor einen Riegel vorzuschieben. Egal ob per Fingerabdruck, Muster oder Zahlencode – alles ist besser als keine Bildschirmsperre zu haben. Pro-Tipp: Auch ein Muster oder Zahlencode sollte regelmäßig geändert werden, da professionelle Handydiebe mithilfe von speziellen Geräten Spuren und Muster, die auf dem Bildschirm besonders häufig eingegeben wurden, sichtbar machen können. App-Berechtigungen überprüfen: Viele Apps verlangen nach Berechtigungen, die sie eigentlich gar nicht benötigen. Eine Sport-App benötigt zum ...
Weiterlesen
Brasilianische Banking-Trojaner und gefälschte Wettanbieter-Apps: Der Doctor Web Virenrückblick September 2018
Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die Kunden brasilianischer Banken abgesehen hatte. Ferner boten Cyberkriminelle gefälschte Apps von Wettanbietern im Google Play Store zum Download an. Weitere gefährliche Apps für Android-Nutzer standen ebenfalls im Fokus.  Das Analystenteam von Doctor Web entdeckte im September mit Trojan.PWS.Banker1.28321einen neuen Banking-Trojaner, der auf Bankkunden aus Brasilien ausgerichtet war. Zum jetzigen Zeitpunkt sind Doctor Web 340 verschiedene Muster des Trojaners bekannt. Dabei wurden 129 Domains und IP-Adressen erfasst, von welchen die böswilligen Archive heruntergeladen wurden. Der Trojaner verbreitet sich als Fake-App für Adobe-Reader-Dateien und infiziert Rechner unter Microsoft Windows, sofern Portugiesisch als Benutzersprache eingestellt ist. Sobald der Benutzer die Webseite einer brasilianischen Bank öffnet, spielt ihm der Trojaner ein gefälschtes Formular zur Eingabe seines Benutzernamens und Passworts ein. Die gesammelten Daten werden dann an die Cyberkriminellen weitergeleitet. Alle bösartigen Funktionen von Trojan.PWS.Banker1.28321befinden sich in einer verschlüsselten und dynamischen Bibliothek, welche ...
Weiterlesen
Sicheres Surfen im Netz – der Doctor Web Security-Tipp des Monats September
Ab sofort gibt Doctor Web jeden Monat einen Security-Tipp oder räumt mit einem Security-Mythos auf, um seinen Kunden und Fans einen weiteren Service anzubieten. In der ersten Ausgabe gibt Doctor Web drei einfach umzusetzende Tipps, wie man sich sicher im Netz bewegt, ohne digitale Spuren zu hinterlassen und nicht Opfer von Cyber-Betrügern wird.   So gut wie jedes Browser-Updatekorrigiert Fehler und schließt vorhandene Sicherheitslücken. Auch wenn die gängigen Browser das Update meist automatisch einspielen, rät Doctor Web dazu, in den Einstellungen regelmäßig manuell nach Online-Updates zu suchen und diese zu installieren. Übrigens: Die kostenlose Browser-Erweiterung HTTPS Everywhere verschlüsselt Webseiten per HTTPS, sodass Nutzer immer anonym surfen.   Sichere Passwörter– der Klassiker. Mit Blick auf den aktuellen Dr.Web Virenreport, empfiehlt Doctor Web, für jede Webseite ein anderes Passwort zu nutzen. Dieses sollte mindestens acht Zeichen lang sein und Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten.  Übrigens: Passphrasen mit ganzen Satzteilen sind oft ...
Weiterlesen
Verbreitung von Mining-Trojanern für Windows und Linux: Der Doctor Web Monatsbericht August 2018
Im vergangenen Monat gerieten erneut Mining-Trojaner in das Visier der Virenanalysten von Doctor Web. Mit deren Hilfe wollten Cyberkriminelle unerkannt die Kryptowährung Monero (XMR) auf Windows- und Linux-Geräten entwenden. Des Weiteren hat Doctor Web seine Virendatenbank um neue Signaturen für Android-Trojaner erweitert.   Mit Kryptowährungen werden inzwischen täglich Einkäufe im Netz getätigt – das wissen auch Cyberkriminelle. Nachdem im Februardiesen Jahres Hacker bereits Mining-Trojaner benutzten, um die Kryptowährung Monero (XMR) zu schürfen, legten Cyberkriminelle im Juni 2018 nach. Mithilfe des Schädlings Linux.BtcMine.82wurde erneut versucht, die genannte Kryptowährung zu schürfen. Der Trojaner ist in Google Go geschrieben und stellt einen Dropper dar. Ein Dropper ist eine eigenständig ausführbare Programm-Datei, die meist der erstmaligen Freisetzung eines Computervirus dient. Damit der Mining-Trojaner die Kryptowährung stehlen konnte, speicherte der Dropper zunächst den Virus auf einer Festplatte, um ihn anschließend auszuführen.   Die Virenanalysten von Doctor Web haben mehrere dieser Mining-Trojaner für Windows- und Linux-Geräte ...
Weiterlesen
Öffentlicher Beta-Test von Dr.Web Security Space 12.0
Der IT-Sicherheitsspezialist Doctor Web startet einen öffentlichen Beta-Test seines Produktes Dr.Web Security Space 12.0. Alle Interessenten sind herzlich eingeladen, beim Beta-Test mitzumachen, und erhalten einen Link zur Installations- und Schlüsseldatei für Dr.Web Security Space 12.0. Die aktivsten Tester erhalten zudem Geschenke von Doctor Web. Hier geht es zur Anmeldung: https://beta.drweb.com/registration/.   Dr.Web Security Space 12.0 wartet u.a. mit folgenden Verbesserungen auf, die das Produkt noch benutzerfreundlicher machen: Die Benutzeroberfläche wurde grundlegend überholt. Dr.Web Security Space hat von nun an eine Verwaltungszentrale mit sämtlichen Schutzkomponenten, Einstellungen und Statistiken zum Programm. Auch das Kinderschutz-Modul wurde angepasst: Ab sofort können die Arbeitszeit am Computer sowie die Pausen genau definiert werden. Der Anwender weiß jederzeit, wann der PC gesperrt wird. Das Modul „Schutz vor Datenverlust“ wurde überarbeitet. Nutzer können nun einzelne Verzeichnisse von Applikationen sperren lassen. Jeder Anwender kann zudem in Erfahrung bringen, welche Daten er schützen möchte. In der App können jetzt Privateinstellungen ...
Weiterlesen
Malware-Matroschka: Windows-Wurm in Android-Backdoor eingebettet
Im vergangenen Monat erregte eine Android-Backdoor das Aufsehen der Virenanalysten von Doctor Web, da sie gleichzeitig einen Windows-Wurm in sich verbarg. Zudem entdeckten die Analysten verschiedene Bankentrojaner für Android sowie einen Mining-Trojaner, der sich via Update immer wieder auf den infizierten Rechner aufspielte.    Im Juli 2018 verbreiteten Cyber-Kriminelle die Backdoor Android.Backdoor.554.origin, welche zudem den Windows-Wurm Win32.HLLW.Siggen.10482 in sich trug. Die Backdoor gelangte durch gefälschte WhatsApp- und Telegram-Versionen sowie falsche System-Updates auf die mobilen Geräte. Mithilfe von Android.Backdoor.554.origin konnten die Cyber-Kriminellen u.a. den Standort der Geräte ermitteln, sowie Kontakte, SMS und Chats aus beliebten Nachrichtendiensten stehlen. Gleichzeitig kopierte sich Win32.HLLW.Siggen.10482 auf die externe SD-Karte. Wenn sich das Smartphone nun wieder mit einem Windows-Rechner verband, wurde der Wurm extrahiert und ausgeführt.  Ferner entdeckten die Virenanalysten von Doctor Web mehrere Banken-Trojaner, unter anderem Android.Banker.2746. Cyber-Kriminelle verbreiteten diesen via Google Play, indem er als vermeintliche Online-Banking-App ausgegeben wurde. Mithilfe des Trojaners versuchten die Cyber-Kriminellen, an den Zugang zu Kundenkonten bei türkischen ...
Weiterlesen
Fortnite-Hype: Cyber-Kriminelle nutzen Fake-App für Malware
Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des Onlinespiels „Fortnite“ einen SMS-Trojaner in Umlauf gebracht. Ferner entdeckten die Virenanalysten von Doctor Web über 30 Applikationen mit einem eingebetteten Werbemodul auf Google Play. Zudem machten die Spezialisten einen betrügerischen Newsletter ausfindig, der eine Geldüberweisung für die Opfer versprach.   Im Juni verbreiteten Cyber-Kriminelle den SMS-Trojaner Android.SmsSend.1989.origin, der im Auftrag der Opfer Kurznachrichten an kostenpflichtige Nummern versendet und kostspielige Services abonniert. Die Malware war u. a. in einer App versteckt, die sich als mobile Variante des beliebten Onlinespiels „Fortnite“ ausgab. Die offizielle Android-Version des Spiels ist allerdings noch in der Entwicklungsphase und für Nutzer noch nicht erhältlich. Bereits Anfang Juni entdeckten die Virenanalysten von Doctor Web insgesamt 37 Apps auf Google Play, in die das aggressive Werbemodul Adware.Appalytic.1.origin integriert war. Dieses Modul fordert Nutzer über die Benachrichtigungsleiste dazu auf, verschiedene Anwendungen und Spiele herunterzuladen und zu installieren. Darüber hinaus öffnet es den Google Play Store ...
Weiterlesen
Dr.Web vxCube: Neuer Cloud-Dienst zur Blitzanalyse und Neutralisierung von böswilligen Dateien
Der IT-Sicherheitsspezialist Doctor Web stellt ein neues Produkt vor: Der Cloud-Dienst Dr.Web vxCube dient zur Blitzanalyse und Neutralisierung von böswilligen und potenziell schädlichen Dateien. Die Dr.Web vxCube bietet noch mehr als die Analyse von Dateien: Auch das Desinfektions-Tool Dr.Web CureIt!, das Dateien bei Malwarefund neutralisiert, ist inkludiert. Die Funktionsweise von Dr.Web vxCube ist simpel: Der Benutzer erhält einen Zugriff und kann verdächtige Dateien zur Analyse an den Cloud-Dienst senden. Der Dienst prüft die Datei und fällt anschließend das Urteil. Wenn das Objekt eine Bedrohung darstellt, erhält der Nutzer ein spezielles Dr.Web CureIt! Paket. Mit Hilfe des Services können Benutzer die neuesten Bedrohungen schnellstmöglich neutralisieren, ohne auf Updates ihrer Malwareschutzsoftware zu warten. Eingesendete Dateien werden in der Regel in weniger als einer Minute geprüft – egal, ob es eine ausführbare Windows- oder Skript-Datei ist. Das zu prüfende Objekt wird auf einer virtuellen Workstation gestartet. Dabei kann der Benutzer den Analyseprozess von Dr.Web vxCube per Fernzugriff verfolgen. ...
Weiterlesen
Hacker greifen Benutzerdaten von Steam ab und nutzen Fußball-WM für Trickbetrug – Der Doctor Web Virenrückblick im Mai
Im Mai 2018 erregten vor allem drei Schädlinge die Aufmerksamkeit der Virenanalysten von Doctor Web. Besonders Steam, die Internet-Vertriebsplattform für Computerspiele, stand im Fokus der Hacker. Zudem nutzten Cyber-Kriminelle die anstehende Fußball-Weltmeisterschaft für falsche Gewinnspiele und entwendeten vertrauliche Daten von Telegram sowie Cookies von Browsern. Die Internetplattform Steam wurde im Mai von gleich zwei Trojanern heimgesucht. Wenn sich ein Nutzer, der mit dem Trojaner Trojan.PWS.Steam.13604 infiziert ist, mit seinen Benutzerdaten bei Steam anmeldet, meldet sich auch der Trojaner in Steam an. Sobald das erfolgt ist und ebenfalls die Option zur Zwei-Faktor-Authentifizierung „Steam Guard“ aktiviert ist, wird das Opfer erneut aufgefordert, seine Benutzerdaten einzugeben. Diese Daten werden dann direkt an den Server der Cyber-Kriminellen versendet. Ein weiterer Schädling heißt Trojan.PWS.Steam.15278 und zielt auf das Entwenden von Steam-Inventar ab. Dafür ersetzt er den Empfänger von Spielartefakten durch Web-Injects. Beim Umtausch auf der offiziellen Tauschbörse steamcommunity.com zeigt der Schädling beim Abfangen des Traffics andere Spielgegenstände an. ...
Weiterlesen