Eine neue Art von Schadsoftware ersetzt Smartphone-Anwendungen durch mit unerwünschter Werbung versetzte Klone. Noch ist der Schaden gering, doch das könnte sich nach Ansicht von Experten bald ändern.

Mehr Digitalthemen finden Sie hier

Die Sicherheitsfirma Check Point hat eine neuartige Malware entdeckt, die bisher über 25 Millionen Android-Geräte befallen hat. "Agent Smith" infiziert Smartphones und ersetzt legitime Anwendungen durch werbeinfizierte Klone.

Einmal installiert, sucht die Malware anhand einer Liste nach bestimmten Anwendungen, in die sie eigenen Code injiziert. Zu den Anwendungen zählen unter anderem WhatsApp, Lenovos AnyShare, Opera Mini, Flipkart und TrueCaller.

Noch keine Fälle aus Deutschland bekannt

Die meisten Opfer der Malware befinden sich den Experten von Check Point zufolge in Indien (15,2 Millionen betroffene Geräte), Bangladesch (2,5 Millionen) und Pakistan (1,7 Millionen). Auch aus den USA, Großbritannien, Saudi-Arabien und Australien seien Infektionen bekannt. Auf Anfrage von "Heise Security" teilte die Firma mit, dass aus Deutschland bisher keine Infektionen bekannt seien.

Zwar wurden die meisten der infizierten Apps über den Drittanbieter-Store 9Apps verteilt, Check Point hat aber auch im Google Play Store elf mit Komponenten von "Agent Smith" verseuchte Anwendungen ausgemacht. Sie sind inzwischen gelöscht.

Am häufigsten waren die bereits mehrere Jahre alten Android-Versionen 5 Lollipop (40,2 Prozent) und 6 Marshmallow (33,5 Prozent) betroffen. Check Point beobachtete jedoch auch erfolgreiche Infektionen auf neueren Versionen von Googles Mobilbetriebssystem.

Bisher richtet "Agent Smith" wenig Schaden an

Die Sicherheitsforscher verfolgten die Malware zu einer chinesischen Internetfirma aus Guangzhou zurück. Deren eigentliches Geschäft besteht darin, chinesischen Entwicklern dabei zu helfen, ihre Apps international zu vermarkten.

Bisher setzt "Agent Smith" darauf, Apps mit unerwünschten und betrügerischen Werbeanzeigen zu infiltrieren. In modifizierter Form könnte die Malware laut Check Point jedoch auch sensible Informationen wie private Nachrichten oder Bankdaten abgreifen.

Wer infizierte Apps loswerden will, kann das recht einfach tun: Sie lassen sich auf dem gewohnten Weg deinstallieren. Check Point rät dazu, mobile Geräte immer auf dem aktuellen Update-Stand zu halten, keine Apps von Drittanbietern zu laden und jene Anwendungen neu zu installieren, auf die "Agent Smith" abzielt. Eine vollständige Liste findet sich auf der Website des Unternehmens.

So funktioniert die Malware

Auch wenn "Agent Smith" bisher wenig Schaden angerichtet hat, warnen die Sicherheitsforscher: Die Malware sei nicht nur schwer zu erkennen, sondern verfüge zudem über eine neuartige Struktur und ausgefeilte Angriffsmethoden. Vieles deute darauf hin, "dass die Entwickler von 'Agent Smith' sich für eine größere Durchdringungsrate im Google Play Store vorbereiten".

Der Name "Agent Smith" verweist auf den fiesen Agenten aus "Matrix". Die Malware existiert seit Mai 2018 und verwendet einen dreiteiligen Angriffsmechanismus:

  • Nutzer werden mit Gratis-Spielen, Alltagsanwendungen oder Sex-Apps dazu verleitet, die mit einem speziellen Software-Development-Kit ausgestattete App zu installieren.
  • Einmal installiert, lädt die Anwendung eine bösartige Komponente herunter.
  • Anschließend scannt "Agent Smith" die lokal installierten Anwendungen und ersetzt gefundene Ziele durch Klone und blockiert weitere App-Updates.

Der Klon-Prozess sei sehr komplex und innovativ, schreibt Check Point. Daher seien die Forscher überrascht gewesen, dass sie bisher nur für so etwas Banales wie Adware benutzt wird.

Die Sicherheitsforscher weisen auch darauf hin, dass die Malware für das App-"Update" beziehungsweise die Neuinstallation bereits bekannte Android-Schwachstellen ausnutzt. Nur so sei es möglich, die Malware herunterzuladen und zu installieren, ohne dass der Nutzer etwas mitbekommt.

Verwendete Quellen:

  • Checkpoint.com: Agent Smith: A New Species of Mobile Malware
  • Blog.Checkpoint.com: “Agent Smith”: The New Virus to Hit Mobile Devices
  • Heise.de: Android-Malware bei Google Play: "Agent Smith" infiziert installierte Apps
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.