MazarBOT: Android-Malware mit Geschichte und patriotischen Zügen

Mit dem MazarBOT ist aktuell eine recht interessante Malware unterwegs, die recht wahllos Android-Geräte angreift. Der Schädling verfügt dabei durch seine Geschichte über recht gute Fähigkeiten und zeigt sogar so etwas wie patriotische Züge. Grundsätzlich geht es dem Trojaner darum, Informationen von den befallenen Systemen auszuspionieren. Allerdings verfügt der Schädling durchaus auch über die Fähigkeit, Hintertüren für weitergehende Angriffe zu öffnen, mit denen Angreifer im schlimmsten Fall die komplette Kontrolle über ein System übernehmen können.

Eine aktuelle Welle des Trojaners wurde zuletzt in Dänemark beobachtet. Dort wurde eine riesige Zahl an Kurznachrichten an zufällig generierte Telefonnummern geschicht. War der Nutzer unvorsichtig und klickte auf den enthaltenen Link, landete er auf einer Webseite von der aus MazarBOT versuchte, sich einen Zugang zum Gerät zu verschaffen. Auch in anderen Ländern tauchte die Malware bereits auf.

Eine Besonderheit entdeckten die Malware-Analysten allerdings: Zum Installations-Prozess gehört auch eine Standort-Prüfung. Stellt sich anhand verschiedener Merkmale heraus, dass der Nutzer des angegriffenen Smartphones sich in Russland aufhält, wird jegliche Aktivität sofort eingestellt und das System noch nicht einmal befallen.

Ihr freundlicher Linux-Spezialist

Und auch sonst hebt sich der Trojaner von der sonstigen Android-Malware ab, die inzwischen in großen Mengen kursiert. Denn hinter ihm steckt eine Gruppe aus Russland, die seit dem Jahr 2007 unter verschiedenen Namen aufgefallen ist, darunter Pawn Storm, APT28, Sofacy und Sednit. Diese hat sich schon länger auf Spionage-Malware spezialisiert und attackierte bereits Regierungen, Behörden und militärische Organisationen, Rüstungsfirmen, Medien und verschiedene andere westliche Akteure.

Als Spezialgebiet der Gruppe kristallisierten sich dabei Angriffe auf Linux-Systeme heraus. Dabei nutzte man die Tatsache, dass diese wesentlich weniger stark auf Auffälligkeiten geprüft werden, als die zahlreichen Windows-Rechner in den jeweiligen Netzwerken. Das von der Gruppe entwickelte Toolkit stellt Malware für verschiedene Aufgaben zur Verfügung, die mit einem Dual-Modus ausgestattet ist. Im Idealfall ist es ihr möglich, Root-Rechte zu erlangen und ihr volles Potenzial zu entfalten. Scheitert sie, wird mit normalen Nutzer-Rechten weitergearbeitet und auf dieser Grundlage zumindest getan, was auch so funktioniert. Inzwischen wurde das Toolkit offenbar auf Android angepasst, so dass hier in der nächsten Zeit noch weitere Aktionen zu erwarten sind.

Sicherheit muss nichts kosten AV-Test prüft 32 Android-Schutz-Apps Google, Android, Malware, Schadsoftware Public Domain