Goldilocks, HummingBad Android malware, and the cost of what if

Goldlöckchen und die HummingBad Android Malware

Kürzlich hat die chinesische HummingBad Android Malware mit der Infizierung von Millionen von Android-Smartphones für viel Aufmerksamkeit gesorgt. Dabei wurde eine Frage vernachlässigt: „Was kostet das eigentlich den Besitzer eines infizierten Smartphones?“

„Die Antwort ist, dass es den Nutzer entweder fast gar nichts kostet oder aber unglaublich viel. Es kommt ganz darauf an, was die Malware-Entwickler mit dem infizierten Gerät anstellen“, sagt Alexander Bauer, Experte für Android-Malware bei Avira.

HummingBad hat viel gemeinsam mit der Geschichte vom Goldlöckchen und den Drei Bären. Fragen wir uns doch einmal, was wäre, wenn Goldlöckchen kein kleines niedliches Mädchen wäre, dass lediglich vom Haferbrei und der heißen Schokolade nascht, sondern ein aufdringlicher Einbrecher, der die Bankdaten von Frau Bär stielt und gehässige Wörter an die Küchenwand sprüht?

Die Geschichte von den drei Bären wäre dann sicherlich keine nette Gutenachtgeschichte. Stattdessen würde es eine belehrende Geschichte über die Wichtigkeit des Abschließens und Verriegelns der Haustür werden. Und nicht vergessen: Nochmals nachschauen, ob die Tür auch wirklich verschlossen ist! Deshalb hat Avira HummingBad und seine vorherigen Varianten schon lange erkannt und als Malware eingestuft. Die Erkennungen “ANDROID/Iop.AN.Gen” und “ANDROID/Iop.AR.Gen” für die HummingBad-Familie wurden bereits im Dezember 2015 veröffentlicht.

„Wir haben HummingBad als Backdoor definiert, da es, sobald es sich auf einem Gerät einschleicht (so wie Goldlöckchen das Haus der Bärenfamilie betritt), mit seinen automatischen Rooting-Funktionen für verschiedene Aktionen genutzt werden kann. Das können Botnet-Angriffe sein, versteckte Werbung um Geld mit Klickbetrug zu verdienen oder auch Diebstahl von privaten Daten“, erläutert Bauer.

Ein Android-Gerät zu „rooten“ heißt, die Sicherheitsmaßnahmen des Geräts zu durchbrechen und Administratorrechte zu bekommen. Einige Nutzer machen das selbst, um ihr Gerät besser zu kontrollieren und ihren Bedürfnissen anzupassen zu können. Mit der Fähigkeit der HummingBad Android Malware, ein Gerät „automatisch zu rooten“, passiert genau das, ohne das der Nutzer es bemerkt.

„Das kann schlimme Konsequenzen für den Nutzer haben“, erklärt Bauer. „Es hängt aber auch wieder von den Entscheidungen der Malware-Entwickler ab. Dadurch, dass die Malware persönliche Daten stehlen kann, ist der Verlust der Privatsphäre für den Nutzer sicherlich der größte Schaden – ganz wie bei den drei Bären. Zusätzlich kann die Malware aber auch für die Erstellung von Botnets genutzt werden, um mit vielen infizierten Geräten gezielte Angriffe durchzuführen.“

Momentan generiert die HummingBad Android Malware hauptsächlich Einnahmen durch Klickbetrug und bringt Nutzer dazu, auf Werbe-Pop-Ups und Werbebanner zu klicken, die an das Smartphone geschickt werden. „Die Kosten für diesen Betrug tragen hauptsächlich die werbenden Unternehmen. Außerdem kann es dazu kommen, dass eine höhere Internet-Bandbreite beansprucht wird oder dass mehr App-, CPU- und RAM-Prozesse laufen und das Smartphone dadurch langsamer wird“, sagt Bauer.

Es wird geschätzt, dass HummingBad derzeit ca. 10 Millionen Geräte infiziert hat, insbesondere in China und Asien, aber auch in Deutschland. Verbreitet hat sich HummingBad maßgeblich durch den Download von Apps außerhalb des offiziellen Play Stores. Nutzer von Android Smartphones können mit der kostenlosen Avira Antivirus Security App ihre Geräte scannen und so sehen, ob sie infiziert wurden.

Dieser Artikel ist auch verfügbar in: Englisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.