close
Kaspersky Endpoint Security

Welcome to

Kaspersky Endpoint Security


By Kaspersky Endpoint Security


Aftermath 2022 Blog



Wir haben Android Malware gesehen, die Windows-Systeme vor zu infizieren versucht. Zum Beispiel lädt eine bösartige PE-Datei zusammen mit einer autorun.inf-Datei und legt sie in das Root-Verzeichnis der SD-Karte. Wenn die gefährdeten mobilen Gerät an einen Computer im USB-Modus angeschlossen ist, und wenn die AutoRun-Funktion auf dem Computer aktiviert ist, führen Sie Windows wird automatisch die böswillige PE-Datei.

Interessanterweise kamen wir vor kurzem über etwas, das umgekehrt funktioniert: eine Windows-Bedrohung, die Android-Geräte zu infizieren versucht.

Die Infektion beginnt mit einem Trojaner genannt. Es fällt eine manipulierte DLL (auch als Trojan.Droidpak erkannt) und meldet es als Systemdienst. Diese DLL lädt dann eine Konfigurationsdatei aus der folgenden Remote-Server:

Es analysiert dann die Konfigurationsdatei, um eine bösartige APK an den folgenden Speicherort auf dem angegriffenen Computer zu laden:

% Windir% \ CrainingApkConfig \ AV-cdk.apk.

Die DLL kann auch erforderlich Tools wie Android Debug Bridge (ADB) herunterladen.

Als nächstes installiert es ADB und verwendet den Befehl in Abbildung 1 dargestellt, die böswillige APK auf alle Android-Geräte auf dem angegriffenen Computer angeschlossen zu installieren:

Abbildung 1. Befehl die böswillige APK installieren

Die Installation wird immer wieder versucht, um ein mobiles Gerät, um sicherzustellen, infiziert ist, wenn verbunden. Erfolgreiche Installation erfordert auch das USB-Debugging-Modus auf dem Android-Gerät aktiviert ist.

Der bösartige APK ist eine Variante von und gibt sich als Google App Store-Anwendung.

Abbildung 2. Bösartige APK sich als Google App Store

Allerdings sieht der bösartige APK tatsächlich für bestimmte koreanische Online-Banking-Anwendungen auf dem angegriffenen Gerät und, falls gefunden, fordert Benutzer zu löschen und bösartige Versionen installieren. Android.Fakebank.B dazwischen und auch SMS-Nachrichten auf dem angegriffenen Gerät und sendet sie an die folgende Position:

Abbildung 3. Bösartige APK-Code-Snippet

Um zu vermeiden, zu dieser neuen Infektionsvektor, Symantec schlägt Benutzer folgen diese Best Practices zum Opfer fallen:

  • Schalten Sie USB-Debugging auf Ihrem Android-Gerät, wenn Sie es nicht verwenden
  • Seien Sie vorsichtig, wenn Ihr mobiles Gerät nicht vertrauenswürdigen Computer verbinden
  • Installieren Sie seriöse Sicherheitssoftware, wie zum Beispiel
  • Besuchen Sie die Website für die allgemeine Sicherheitstipps

gfi Endpoint-Security 2013     Endpoint-Security-10 Fenster 10

Categories and tags