Seit Wochen auf Github: Virenscanner scheitern an neuem Android-Trojaner
Sicherheitsforscher von Certo warnen vor einem neuen Remote-Access-Trojaner (RAT) namens Radzarat, der sich als Dateimanager tarnt und Fernzugriffe auf infizierte Android-Geräte ermöglicht. Besonders brisant ist dieser Fund vor allem deshalb, weil bis heute nur ein Bruchteil der gängigen Sicherheitstools die Bedrohung zuverlässig erkennt – und das, obwohl die Schadsoftware schon seit Anfang November auf Github öffentlich verfügbar ist.
Detaillierte Informationen zu Radzarat sind in einem Blogbeitrag von Certo(öffnet im neuen Fenster) zu finden. Bis zum 21. November hat noch kein einziger Virenscanner auf Virustotal die Malware als solche erkannt, wie die Forscher mit einem Screenshot belegen. Und auch eine Woche später(öffnet im neuen Fenster) erkennen lediglich sechs von 67 Sicherheitstools den Trojaner – ein Anteil von weniger als zehn Prozent.
Den Angaben zufolge wird Radzarat unter anderem über Hackerforen verbreitet. Der Entwickler tritt im Netz unter dem Pseudonym Heron44 auf und bewirbt seinen Trojaner als einfache Fernzugriffslösung, deren Einsatz nur geringfügige technische Kenntnisse erfordert. Zur Steuerung der Schadsoftware dient ein Telegram-Bot. Unterstützt werden Android-Geräte bis zur neuesten Version 16.
Keylogging und Fernsteuerung
Heron44 macht auf Github(öffnet im neuen Fenster) kein Geheimnis aus den Funktionen seiner App. Der Projektbeschreibung zufolge bietet Radzarat Dateimanager-Funktionalitäten sowie eine Steuerung aus der Ferne. Auf dem Zielgerät sollen sich beliebige Dateien bis zu einer Größe von zehn GByte nachladen und sämtliche Tastatureingaben des Nutzers, also potenziell auch Passwörter, Zahlungsinformationen und andere vertrauliche Daten, mitschneiden lassen.
Damit derartige Zugriffe aus der Ferne jederzeit möglich sind, sind natürlich weitreichende Berechtigungen erforderlich, die auf dem Zielgerät bestätigt werden müssen. Radzarat bedient sich unter anderem der Accessibility Services von Android, startet sich nach jedem Reboot automatisch im Hintergrund und hindert das Betriebssystem daran, die App zum Wohle einer längeren Akkulaufzeit zu beenden.
APK öffentlich, Verwendung nur gegen Geld
Trotz der freien Verfügbarkeit der APK-Datei dürfte sich Radzarat nicht ungebremst unter Cyberkriminellen verbreiten. Heron44 fordert für die Verwendung eine Kontaktaufnahme über Telegram und bietet den Einsatz des Trojaners nur gegen Bezahlung an. Ohne Bezahlung bleibt Interessenten vermutlich der Zugang zur Kontrollinfrastruktur verwehrt.
Die Certo-Forscher empfehlen Anwendern, neue Apps sicherheitshalber nur aus offiziellen Quellen wie dem Google Play Store zu beziehen. Radzarat scheint bisher nur per Sideloading auf Zielgeräte zu gelangen. Malware-Infektionen sind bei Downloads aus dem Play Store zwar ebenfalls nicht gänzlich auszuschließen , beim Sideloading ist das Risiko aber grundsätzlich höher.
Überdies sollten Anwender bei der Berechtigungsabfrage neuer Apps skeptisch bleiben und angefragte Zugriffsrechte im Zweifel eher ablehnen. Bei Tools, die naturgemäß viele Berechtigungen benötigen, um korrekt zu funktionieren, sollte zudem genau geprüft werden, ob der Entwickler wirklich vertrauenswürdig ist. Auch Nutzerbewertungen können Anhaltspunkte für eine mögliche Bedrohung liefern.