Kostenloses Tool entfernt Schadsoftware aus 48 Apps

Originalartikel von Weichao Sun, Mobile Threats Analyst

Kürzlich berichtete Trend Micro über eine Angriffstechnik einer Android-Schadsoftware (ANDROIDOS_BOTPANDA.A), die auf dem betroffenen Gerät Veränderungen vornimmt, so dass der Schädling nur schwer zu entfernen ist. Nun hat Trend Micro ein Werkzeug veröffentlicht, mit dessen Hilfe diese Malware entfernt und die Modifikationen rückgängig gemacht werden können Nutzer können BotPanda Cleaner aus Google Play herunterladen.

48 Apps enthalten libvadgo

Im Zuge der Nachforschungen fanden die Sicherheitsexperten 55 bösartige Dateien, die in 48 separaten Utility-Apps verpackt sind und die zum Schädling gehörende libvadgo-Bibliothek enthalten. 28 dieser Apps sind immer noch online verfügbar, und Nutzer könnten sie auch in den Stores von anderen Anbietern vorfinden. Schätzungsweise haben bereits 31.000 Nutzer diese Apps heruntergeladen. Die folgende Tabelle zeigt einige der Apps mit eingeschleuster Bibliotheksdatei:

App Name Package Name
FMR Memory Cleaner com.fantasmosoft.new
SuperSU eu.chainfire.newsupersu
签名点ME com.qianming.new
Move2SD Enabler com.iozhu.zyl
Chainfire3D eu.chainfire.new
Squats com.northpark.newsquats
无线探测器 net.szym.barnacle
Sit Ups com.northpark.new
程序隐藏器 ccn.andflyt.new
Screenshot UX com.nyzv.shotux

Diese Apps funktionieren einwandfrei und zeigen keinerlei auffälliges Verhalten, doch sind es trojanisierte Apps, die bösartigen Code und libvadgo enthalten. Um das Entfernen der Malware zu erschweren, ersetzt ANDROIDOS_BOTPANDA.A Dateien, übernimmt wichtige Systembefehle und beendet bestimmte Prozesse auf dem infizierten Gerät. Wahrscheinlich werden künftig mehr bösartige und trojanisierte Apps diesen Trick anwenden. Einzelheiten zu der Funktionsweise der App gibt es unter „Library in bestimmten Android-Apps verbindet sich mit C&C-Servern“. Auch untenstehende Infographik zeigt das Verhalten des Schädlings:

Auf mobilen Geräten, auf denen ANDROIDOS_BOTPANDA.A bereits installiert ist, reicht es nicht aus, die bösartige App zu erkennen und zu entfernen, denn die durchgeführten Änderungen im System werden dadurch nicht rückgängig gemacht.

Das Tool BotPanda Cleaner von Trend Micro entfernt die entsprechenden Dateien und stellt den ursprünglichen Zustand des Systems wieder her. Es läuft auf Android-Geräten (Android 2.3 und 4.0). Root-Berechtigungen sind für diese Aufgaben erforderlich. Das Tool führt die folgenden Aufgaben durch:

Scannt alle Dateien aus jedem Package Install-Verzeichnis, um die Datei libvadgo zu finden.

  1. Checkt, ob die Malware Systemdateien modifiziert hat.
  2. Prüft das Vorhandensein weiterer vom Schädling generierter Dateien.
  3. Zeigt die Ergebnisse der ersten drei Schritte an.
  4. Fordert den Nutzer auf, mit Löschen die infizierte App sowie die Dateien zu entfernen und danach das Gerät erneut hochzufahren.

Beim Löschen passiert folgendes:

  1. Alle vom Virus unter /system/bin/ and /system/lib generierten Dateien werden entfernt
  2. Alle libvadgo umfassenden Apps werden entfernt.
  3. Stellt zwei vom Virus modifizierte Dateien wieder her:  /system/bin/svc und /system/build.prop

Nutzer sollten vorsichtig prüfen, bevor sie eine App vor allem aus einem Store eines Drittanbieters herunterladen. Moble Security Personal Edition unterstützt User dabei, denn die Software kann Apps, die bösartige Bibliotheken enthalten, identifiizieren. Weitere Informationen zur Sicherheit mobiler Geräte gibt es im Whitepaper When Android Apps Want More Than They Need und in Fünf einfache Schritte, um Ihr Android-basiertes Smartphone zu schützen (PDF). Sehr informativ ist auch die Infographik zur aktuellen Android OS Bedrohungslandschaft.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*