Android-Schädling nutzt Blog-Site als Kommandozentrale

Originalartikel von Karl Dominguez, Threat Response Engineer

Kriminelle bringen immer raffiniertere Android-Schädlinge in Umlauf. Trend Micro hat eine neue Hintertür-Malware analysiert, die eine höhere Performance aufweist und neue Techniken für die Verschleierung nutzt.

Der Android-Schädling (ANDROIDS_ANSERVER.A) tarnt sich als E-Book Reader-Anwendung und kann aus einem chinesischen App Store herunter geladen werden. Bei der Installation fordert er die folgenden Berechtigungen:

Schon anhand dieser Berechtigungen last sich ablesen, dass der Schädling eine Vielzahl von Fähigkeiten besitzt. Er nutzt die ihm gewährten Berechtigungen um folgende Aufgaben auszuführen:

  • Zugriff auf Netzwerkeinstellungen
  • Internet-Zugriff
  • Kontrolle über den Vibrationsalarm
  • Deaktivieren der Tastensperre
  • Anruf tätigen
  • Lesen der Low-level Logdateien
  • Lesen und Schreiben von Kontakten
  • Neustart von Applikationen
  • Wecken des Geräts
  • Schreiben, Lesen, Erhalten und Senden von SMS

Weitere Informationen über die Art und Weise, wie Kriminelle Berechtigungen nutzen, um bösartige Routinen auszuführen, gibt es im E-Book „When Android Apps Want More Than They Need“.

Die Sicherheitsforscher fanden zwei hart codierte Command & Control-Server, die dem Schädling Anweisungen senden und Routinen liefern. Der eine stellt sich als übliche Remote Site dar, wo die Malware Informationen ablegt und neue Befehle holt. Der zweite jedoch stellt eine Blog-Site mit verschlüsseltem Inhalt dar. Diese Art einer Android-Malware, mit ihrem Server zu kommunizieren, ist neu. Das Diagramm zeigt, wie der Schädling die Blog Site als C&C-Server nutzt:


Die Prüfung des Blog-Inhalts ergab sechs verschlüsselte Einträge, die Backup-C&C-URLs enthielten. Des weiteren sind 18 ausführbare Dateien auf dem Blog (vom 23. Juli bis zum 26. September). Eine davon, _test genannt, scheint noch weiter entwickelt zu werden.

Die Analyse ergab auch, dass diese Dateien verschiedene Versionen ihrer selbst sind, wobei die neueren Versionen Benachrichtigungen anzeigen können, um User dazu zu verleiten ein Update herunter zu laden. Auch können die neuen Versionen vier Sicherheitsanwendungen beenden:

  • com.qihoo360.mobilesafe
  • com.tencent.qqpimsecure
  • com.ijinshan.mguard
  • com.lbe.security.

Die Nutzung von Blog-Plattformen für Malware-Aktivitäten ist nicht ganz neu. Beispielsweise gab es Anfang des Jahres ein Botnetz, dass Twitter für die Ausgabe von Befehlen verwendete.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*