zuletzt aktualisiert vor

Verschont russische Geräte Gefährlicher neuer Android-Virus „Mazar Bot“ kommt per SMS

Von Waltraud Messmann

Derzeit macht ein neuer, äußerst gefährlicher Virus für das mobile Betriebssystem Android mit Namen „MazarBot“ die Runde. Foto:Imago/Star MediaDerzeit macht ein neuer, äußerst gefährlicher Virus für das mobile Betriebssystem Android mit Namen „MazarBot“ die Runde. Foto:Imago/Star Media

Osnabrück. Derzeit macht ein neuer, äußerst gefährlicher Virus für das mobile Betriebssystem Android mit Namen „MazarBot“ die Runde. „Mazar Bot“ wird nicht wie üblich über eine infizierte App oder einen manipulierten Link verteilt, sondern per SMS verbreitet.

Die Angreifer können die Kontrolle über das infizierte Smartphone übernehmen und dieses sogar komplett löschen. Die gefährliche SMS wurde bereits an zahlreiche Android-Nutzer versandt. Allein in Dänemark wurde sie an 100 000 Smartphones versandt. In der Nachricht wird dem Nutzer mitgeteilt, dass er eine MMS bekommen habe. Um den Inhalt zu sehen, müsse er nur den Link „http://www.mmsforyou[.]net/mms.apk“ anklicken. Tut er das, ist sein Gerät infiziert und der Download einer App namens „MMS-Messaging“ beginnt.

Nach Angaben der Sicherheitsexperten von Heimdal Security deaktiviert sich „Mazar Bot“ allerdings selbst wenn er auf einem russischen Gerät installiert wird.

Malware wurde bereits 2015 entdeckt

Wie die IT-Experten weiter berichten, basiert der Virus auf dem sogenannten „Mazar Android BOT“. Dabei handelt es sich um eine Malware, die bereits Ende des letzten Jahres entdeckt wurde, da sie in einschlägigen Foren zum Verkauf angeboten wurde. Die Version, die aktuell willkürlich an verschiedene Mobilfunknummern weltweit versandt wird, ist in der Lage, das befallene Android-Gerät vollständig zu übernehmen und auf alle Systemfunktionen zuzugreifen.

Wie das Internetportal „Der Standard“ berichtet, installiert die Malwareals erstes den offiziellen Client für das Tor-Netzwerk. Mit dessen Hilfe werde dann eine anonyme Verbindung zu einem Command-and-Control-Server aufgenommen. Danach schicke Mazar eine SMS an eine iranische Telefonnummer, in der unter anderem der Standort des Smartphones übermittelt werde, heißt es. Zudem werde der HTTP Proxy Polipo auf dem Gerät installiert, um die Verbindung zu Webseiten mitlesen zu können.

Russische Hacker?

Über die Identität der Angreifer ist derzeit nichts bekannt. Das Technikportal Gulli.de meint aber, dass es sich um russische Cracker handeln könnte. Demnach konnte Heimdal eine Codezeile identifizieren, in der sich der Virus selbst deaktiviert,wenn er auf einem russischsprachigen Gerät installiert wurde. TheHackerNews vermutet, dass die Täter mit dieser Maßnahme verhindern wollen, ins Fadenkreuz russischer Ermittlungsbehörden zu geraten.