Android-Schadsoftware führt Remote-Befehle aus

Originalartikel von Veo Zhang, Mobile Threat Analyst

Neben Apps, die Nutzer für unerwünschte Bezahldienste anmelden, oder solchen, die aggressiv Werbung auf das Gerät des Anwenders schieben, geht von Apps mit Hintertürfähigkeiten eine noch höhere Gefahr aus.

Kürzlich sorgten Berichte über ein Botnet für Aufsehen, das mehr als eine Million Smartphones umfasst. Dies zeigt die Vielfalt der Angriffe auf Android-Geräte und auch, dass die Gefahr längst nicht vorbei ist.

Die Experten von Trend Micro haben diese Malware seit Juli 2012 im Visier und haben bislang 4.282 Arten entdeckt. Die analysierten Muster (ANDROIDOS_KSAPP.A, ANDROIDOS_KSAPP.VTD, ANDROIDOS_KSAPP.CTA, ANDROIDOS_KSAPP.CTB und AndroidOS_KSAPP.HRX) stammten aus einem bestimmten unabhängigen App Store, doch kann man davon ausgehen, dass es auch andere auf weiteren Websites gibt. Es handelt sich zumeist um Spiele-Apps, einige davon neu verpackte Versionen beliebter Spieletitel. Bei den ersten analysierten Mustern handelte es sich um Pakete, die denselben App-Titel nutzen wie das Original und vorgeblich auch von derselben Firma kommen.

Sobald eine dieser bösartigen Apps installiert ist, kommuniziert sie mit den folgenden Remote-Sites, holt sich ein komprimiertes Skript und führt ein Parsing durch:

  • http://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
  • http://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
  • http://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0

Das Parsing erschwert die Erkennung dieser Botnet-Malware im Vergleich zu anderen Schädlingen auf Android. Weitere Details zur Funktionsweise der Malware finden Interessierte hier. Der Schädling kann auch eine neue Variante seiner selbst herunterladen. Dieses Remote-Skript enthält Befehle, die ein entfernter Angreifer auf dem infizierten Gerät ausführen kann, beispielsweise eine Test Call-Funktion.

Damit weitere schädliche Dateien installiert werden können, erhält der Nutzer eine Benachrichtigung oder ein Pop-up-Fenster. Stimmt er zu, so lässt sich sein Gerät mit weiteren Schädlingen infizieren. Noch schlimmer: Infolge der Installation von ANDROIDOS_KSAPP-Varianten ermöglichen die Nutzer entfernten Anwendern, weitere Befehle auf seinem Gerät durchzuführen.

Eine Übersicht zu den Bedrohungen des letzten Jahres liefert die „Zusammenfassung der Sicherheitslage 2012: Post-PC-Gefahren“.

Nutzer können sich vor solchen Fälschungen schützen, wenn sie vor dem Download einer App deren Bewertungen lesen und die Reputation des Entwicklers prüfen. Auch sollte auf jedem Gerät eine Sicherheitssoftware laufen, wie beispielsweise Trend Micro Mobile Security Personal Edition, die bösartige Apps erkennt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*