Google Android gefunden, mit Backdoor versehen, infiziert.

Originalartikel von Rik Ferguson (Senior Security Advisor, Trend Micro)

Die Leute der Android-Polizei haben gestern Einzelheiten zu einem Vorfall veröffentlicht, den sie als „die Mutter aller Android-Malware“ bezeichnen und der ursprünglich von „lompolo“, einem Reddit-User, entdeckt wurde.


Bild von MJ/TR Flickr unter Creative Commons

lompolo informierte über 21 Android-Apps, die als neue Version rechtmäßiger Apps veröffentlicht wurden. Bei der letzten Zählung waren über 50 bösartige Apps betroffen. Die neuen Versionen enthalten den Exploit „rageagainstthecage“, der sich Zugriff auf das Stammverzeichnis des Geräts verschaffen kann. Die mit einem Trojaner versehenen Apps stehlen nicht nur Gerätedaten, wie z. B. IMEI und IMSI, sondern installieren auch weitere verborgene Malware, die noch mehr Benutzerdaten entwendet und sie an Kriminelle weiterleitet. Weitere Nachforschungen der Android Police haben ergeben, dass dieser zweite Schadteil auch einen Dropper enthält, der weiteren Code herunterladen kann.

Auf die erste Veröffentlichung durch lompolo zu diesem Vorfall antwortete der der Entwickler einer der betroffenen Apps:

„Ich habe die App ‚Guitar Solo Lite’ ursprünglich entwickelt. Mir ist die gefälschte App vor etwas über einer Woche aufgefallen (ich bekam Absturz-Berichte von ihr). Ich habe Google darüber informiert und zwar über alle Kanäle, die mir einfielen: DCMA-Benachrichtigung, Information über bösartige App, Android Market Help … und warte noch immer auf Antwort. Glücklicherweise wurde dies auf Reddit veröffentlicht, denn nach dem Beitrag wurden der Hacker und alle seine Apps aus dem Markt entfernt. Es müsste deutlich schneller/einfacher gehen, dass Google aktiv wird!“

In den fünf Tagen, in denen die Apps erhältlich waren, wurden sie ca. 50.000 Mal heruntergeladen. Google hat sie jetzt vom Markt genommen und ihren Entwickler für den Android-Marktplatz gesperrt. Per Fernwartung wurden die Apps auch von den betroffenen Geräten entfernt. Bei dieser automatischen Löschmaßnahme wird natürlich kein Code entfernt, der sich als Folge der Erstinfektion auf dem Gerät installiert hat. Wenn Sie also eine der schätzungsweise 50.000 Personen sind, die diese bösartigen Apps heruntergeladen haben, sollten Sie sich vielleicht überlegen, das Gerät zu ersetzen oder auf Ihrem jetzigen Gerät das Betriebssystem noch einmal aufzuspielen.

Das Android-Ökosystem für Apps ist per Definition offen, es gibt eine Vielzahl von App-Shops und eine App für die User-Community kann innerhalb von Minuten veröffentlicht werden. Die größere Offenheit der Entwicklungsumgebung sollte die Kreativität stärken, doch wie schon Facebook erkannt hat, fühlen sich dort auch Kriminelle ganz besonders wohl.

Zu beachten ist hier, dass es mittlerweile komplette Sicherheitspakete für Google Android gibt, wie z. B. dieses hier. Die Anzahl der Bedrohungen, die es auf mobile Plattformen abgesehen haben, nimmt beständig zu. Natürlich sind es noch immer deutlich weniger als die, die auf Windows abzielen, aber das kriminelle Interesse ist nachweislich vorhanden und wächst. Man kann Multi-Plattform-Angriffe von den gleichen kriminellen Vereinigungen beobachten wie denen, die auch Wintel-Systeme angreifen. Auch ist die zunehmende Komplexität der Bedrohungen, wie beispielsweise die ZeuS-Malware, die über mobile Elemente SMS-Bankdaten abfängt, ganz beachtlich. Die Kriminellen folgen dem Anwenderverhalten. Je mehr sich also die Profitchancen auf mobile Plattformen verlagern, sind auch die Kriminellen nicht weit, ja, sind bereits vor Ort.

Hier ist die komplette Liste der mit Trojanern versehenen Apps, veröffentlicht von Myournet:
– Falling Down
– Super Guitar Solon
– Super History Erasern
– Photo Editorn
– Super Ringtone Makern
– Super Sex Positionsn
– Hot Sexy Videosn
– Chessn
– 下坠滚球_Falldownn
– Hilton Sex Soundn
– Screaming Sexy Japanese Girlsn
– Falling Ball Dodgen
– Scientific Calculatorn
– Dice Rollern
– 躲避弹球n
– Advanced Currency Convertern
– App Uninstallern
– 几何战机_PewPewn
– Funny Paintn
– Spider Mann
– 蜘蛛侠

UPDATE:
Die Mobile Security Firma Lookout hat eine aktualisierte Liste der betroffenen Apps zusammengestellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*