Kriminelle nutzen gehackte Webseiten, um Android-Nutzern "im Vorbeisurfen" (Drive-By-Download) Malware unterzujubeln. Besucht ein Android-Nutzer eine der infizierten Seiten, beginnt ohne sein Zutun der Download der Installationsdatei Update.apk. Startet der Nutzer den Installer daraufhin, gibt er sich als Sicherheitsupdate "com.Security.Update" aus.

Statt das System abzusichern, kontaktiert die auf den Namen NotCompatible getaufte Malware jedoch einen Kommandoserver im Internet und öffnet dem Angreifer eine Art eine Hintertür in das lokale Netz, wie die Antivirenfirma Lookout berichtet. Auf diese Weise könnte der Angreifer etwa auf Webserver oder Netzwerkfreigaben zugreifen, die eigentlich vom Internet abgeschirmt und dadurch nicht öffentlich erreichbar sind. Ob derartige Zugriffe tatsächlich stattgefunden haben, geht aus dem Bericht nicht hervor.

Laut Lookout ist dies der erste bekannte Fall, in dem gehackte Webseiten zur Verbreitung von Android-Malware missbraucht wurden. Der Drive-By-Code wurde auf dem Server androidonlinefix.info gehostet und als iFrame in die geknackten Seiten eingebettet. Den bekamen aber nur Android-Nutzer zu sehen, da der Code den User Agent des Besuchers ausgewertet hat. Schädlinge, die es auf Desktop-Betriebssysteme abgesehen haben, werden schon seit geraumer Zeit auf diese Weise verbreitet.

Sicherheitslücken haben die Kriminellen nicht ausgenutzt, sodass der Nutzer die Datei noch manuell ausführen muss. Darüber hinaus muss die Option "Installation von Nicht-Market-Apps zulassen" aktiv sein, damit man die Schadsoftware überhaupt installieren kann. Laut Lookout sind die infizierten Seiten nicht besonders gut besucht, der Schaden soll sich daher in Grenzen halten. (rei)