Bösartige Apps trotz Google Bouncer

Originalartikel von Oliva Hou, Product Manager

Die Zahl der Android-Schädlinge ist seit Ende letzten Jahres rapide angestiegen. Um bösartige Apps aus dem offiziellen Store Google Play fernzuhalten, hatte der Anbieter unter dem Codenamen Bouncer im Februar einen Sicherheitsdienst aufgesetzt.

Bouncer scannt mithilfe seiner Reputations-Engine und der Cloud-Infrastruktur automatisch und unbemerkt die Apps (sowohl die neuen als auch existierende) und auch die Entwicklerkonten im Store. Google zufolge konnte dank Bouncer die Zahl der bösartigen Apps um 40 Prozent gesenkt werden.

 Forscher finden Möglichkeiten des Fingerprintings für Bouncer

Nun haben kürzlich zwei Sicherheitsforscher herausgefunden, dass Bouncer über Fingerprinting angegriffen werden kann. Um dies zu beweisen, stellten sie eine Android-App ein, die Shell-Code enthielt, der im Bouncer „herumstocherte“, während dieser die App analysierte. Der eingeschleuste Code nahm auch Verbindung zu den Forschern auf (Phone Home), und so konnten diese einige Details über die Laufzeitumgebung des Sicherheitsdienstes herausfinden. Dabei kam Interessantes ans Tageslicht:

  • Bouncer nutzt als Simulatortyp QUME (Software, die Hardware-Plattformen emulieren kann).
  • Alle virtualisierten Telefoninstanzen im Tool gehören zu demselben Konto und haben genau einen Kontakt und zwei Fotos auf dem simulierten Gerät.
  • Bouncer prüft eine im Store vorhandene App fünf Minuten lang.
  • Er führt nur dynamische Analysen durch. Das heißt, nur Anwendungen, die sich auffällig verhalten, wenn sie im Bouncer laufen, werden als Gefahr erkannt.
  • IP-Adressen, die Google Bouncer zuweist, können eingesehen warden, da die analysierten Apps Zugriff auf Internet erhalten, während sie geprüft werden.

Welche Gefahren drohen Android-Nutzern

Nach diesen Erkenntnissen der Forscher fällt es nicht schwer sich auszumalen, dass bösartige Android-Apps das Fingerprinting tatsächlich nutzen und sich als legitime Anwendungen tarnen, wenn sie in Bouncer laufen. Somit können sie Googles Sicherheitscheck umgehen und dennoch in Google Play zum Herunterladen stehen. Folgende Angriffsszenarien sind denkbar:

  • Verzögerter Angriff: Die Anwendung kann bösartigen Code enthalten und sich beim Check durch Bouncer dennoch gutartig verhalten. Findet sie dann ihren Weg auf das Gerät eines Nutzers wird sie ihre bösartigen Routinen starten.
  • Update-Angriff: Der ursprüngliche Installer muss keinen bösartigen Code enthalten. Damit hat die App noch bessere Chancen, von Bouncer als clean eingestuft zu werden. Wird sie dann von einem echten Nutzer installiert, so kann sie entweder zusätzlichen bösartigen Code herunterladen oder Verbindung mit einem entfernten Control and Command Server aufnehmen und gestohlene Daten hochladen oder weitere Befehle entgegen nehmen. Erst kürzlich konnten zwei gefälschte Apps den Bouncer-Test erfolgreich bestehen, indem sie diese Technik anwendeten. Sie hielten sich zwei Wochen lang in Google Play, ohne entdeckt zu werden. (Trend Micro identifizierte sie als ANDROIDOS_TROJDOWNLOADER.A und ANDROIDOS_TROJSMS.A).

Eine weitere Gruppe von Forschern plant, auf der BlackHat-Konferenz (21.07. – 26.07.) eine andere Technik zu präsentieren. Darüber gibt es noch keine weiteren Informationen.

Nur selbst schützen hilft

Google hat eigenen Angaben zufolge einige Funktionalität des Bouncers geändert, nachdem die Forscher ihre Ergebnisse veröffentlichten. Doch heutige Malware entwickelt sich schnell und deren Programmierer finden immer neue Wege, um Sicherheitschecks zu umgehen.

Das heißt, Bouncer kann zwar viele der bösartigen Apps erkennen, doch werden auch immer wieder welche durchkommen. Auch wenn Google die Möglichkeit hat, aus der Ferne installierte Apps von den Geräten der Nutzer zu entfernen, ist es doch wünschenswert, wenn die Schädlinge gestoppt werden, bevor sie die Geräte erreichen.

Android-Nutzern wird immer wieder empfohlen, vorsichtig zu sein und die möglichen Gefahren im Hinterkopf zu behalten, wenn sie Apps herunterladen und installieren – unabhängig von der Quelle. Auch sollte immer eine Sicherheitssoftware installiert sein, so etwa Trend Micros Mobile Security for Android. Die Software nutzt die Cloud-basierte Mobil App Reputation-Technologie, um besseren Schutz liefern zu können. Mobile Security for Android sucht nicht nur bereits installierte bösartige Apps sondern kann auch diie Installation von verdächtigen Anwendungen stoppen. Weitere Informationen über den Schutz vor Android-spezifischen Gefahren gibt es in den Whitepapers:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*