/Sicherheit

Malware zwingt Android-Geräte zum Schürfen von Kryptowährung

Michael Förtsch 15.02.2018 Lesezeit 3 Min

Bislang wurden vor allem Laptops und Desktop-Rechner durch Malware und versteckte Java-Skripte zum Schürfen von Kryptowährungen missbraucht. Wie Sicherheitsforscher jetzt entdeckten, gilt das auch für Android-Tablets und Smartphones.

Im Januar sollen die Schadsoftwareexperten von Malwarebytes Labs erstmals auf eine aktuelle Welle von Attacken auf Android-Geräte gestoßen sein. Bei dieser offenbar sehr gezielten Kampagne wird über Werbeanzeigen in kostenfreien Apps eine Malware auf Android-Systeme aufgespielt. Die lenkt die Nutzer mit erzwungenen Redirects auf eine Website. Auf dieser wird behauptet, dass das Smartphone oder Tablet mit einem „verdächtigen Surfverhalten“ aufgefallen wäre. Der Nutzer müsse ein Captcha lösen, um zu beweisen, dass er kein Bot sei. Im Hintergrund wird währenddessen ein Skript ausgeführt, dass die Rechenleistung der Geräte nutzt, um die Kryptowährung Monero zu schürfen.

Dabei werden die Android-Geräte mit Maximalleistung gefahren und der Akku stark belastet. Erst wenn die Nutzer das scheinbar stets gleiche Captcha-Kennwort eingeben, wird das Crypto-Mining abgebrochen und das Browserfenster geschlossen. Wie die Sicherheitsforscher ermittelten, wird die Webseite mit dem Crypto-Mining-Skript mehrheitlich über fünf Domains ausgespielt. Diese kämen auf rund 800.000 Besucher pro Tag. Die zwei aktivsten würden über 30 Millionen Aufrufe pro Monat zählen. „Wobei wir glauben, dass es noch mehr Seiten gibt als wir bisher entdeckt haben“, sagen die Sicherheitsexperten. Heißt: Offenbar sind Millionen Geräte betroffen. Die durchschnittliche Verweildauer auf den Websites betrage zwischen zwei bis vier Minuten. Wie lukrativ diese Masche dadurch ist, ist nicht sicher. Jedoch schätzen die Malwarebytes-Entwickler, dass die Hintermänner der Kampagne durchaus einige Tausend US-Dollar im Monat erwirtschaften würden.

Das Mining-Skript, das bei der Attacke zum Einsatz kommt, stammt von Coinhive. Das wird von einigen Medienseiten wie Salon.com offen als Alternative zu Bannerwerbung angeboten. Aber mehrheitlich scheint das Skript heimlich genutzt und von Hackern auf gut besuchten Websites eingeschleust zu werden. Unter anderem war es schon in Werbeanzeigen auf Youtube, der Streamingseite des TV-Networks Showtime und der WLAN-Log-in-Seite von Starbucks zu finden. Wie die Entwickler von Coinhive in einem Interview mit Motherboard angaben, hätten sie all das nicht kommen sehen. Ihre Vorstellung, das Skript würde transparent genutzt, wäre naiv gewesen. Ihr Ruf sei mittlerweile sehr schlecht. Dazu würde Coinhive mehrheitlich als Schadsoftware gesehen und von vielen Werbefiltern und Antivirenprogrammen blockiert.