Library in bestimmten Android-Apps verbindet sich mit C&C-Servern

Originalartikel von Weichao Sun (Mobile Threat Analyst)

Trend Micro hat Android-Apps mit einer bösartigen Library entdeckt (die als ANDROIDOS_BOTPANDA.A erkannt werden). Wenn die Library ausgeführt wird, mutiert das infizierte Gerät zum Zombie, das sich mit bestimmten Befehls- und Kontrollservern verbindet. Auffällig ist an dieser Datei insbesondere, dass sie ihre Routinen in der dynamischen Library versteckt, was die Analyse erschwert.

Die in ADNROIDOS_BOTPANDA.A enthaltene bösartige Library libvadgo wurde mittels NDK entwickelt und über die Schnittstelle Java Native Interface geladen. Bei NDK handelt es sich um ein Toolset für Android-Amateurentwickler, die damit Apps erstellen. ANDROID_BOTPANDA.A enthält die Datei com.airpuh.ad/UpdateCheck, welche die libvadgo-Library lädt und die Java_com_airpuh_ad_UpdateCheck_DataInit-Funktion über den folgenden Code aufruft:

Screenshot des Codes

Screenshot des Codes

Die Trend Micro-Analyse hat ergeben, dass eine der auffälligen Routinen von Java_com_airpuh_ad_UpdateCheck_DataInit verifiziert, ob ein Gerät mit Root-Rechten ausgestattet ist. Hierfür überprüft die Routine die Datei /system/xbin/su. Falls ja, führt die Datei /system/xbin/su aus und anschließend die im Folgenden aufgeführten Befehle in system/xbin/su:

In /system/xbin/su ausgeführte Befehle

In /system/xbin/su ausgeführte Befehle

Ferner führt Java_com_airpuh_ad_UpdateCheck_DataInit die Datei .e[int_a]d aus, die nach einigen Minuten entfernt wird. Im ersten Schritt prüft die .e[int_a]d-Datei, ob /system/lib/libd1.so existiert. Daraufhin tauscht sie Dateien aus und hängt einige wichtige Systembefehle [rm move mount ifconfig chown ] unter system/xbins/by ein, indem sie entsprechende Dateien unter system/bin/ erstellt. Damit verfolgt sie das Ziel, Entdeckung und Beseitigung des Schädlings zu verhindern. Sämtliche erstellten Dateien sind Duplikate von system/lib/lib1.so. Zudem modifiziert die .e[int_a]d-Datei system/bin/svc, indem sie eine bösartige Code-Zeile hinzufügt, so dass der Schadcode automatisch gestartet werden kann.

Außerdem führt die .e[int_a]d-Datei die Hauptroutine des Schädlings aus, nämlich die Kommunikation mit den Befehls- und Kontrollservern ad.{BLOCKED}ew.com ad.{BLOCKED}o8.com und ad.{BLOCKED}8.com über den Port 8511. Diese Server waren jedoch zum Zeitpunkt der Trend Micro-Analyse bereits stillgelegt, so dass die auf dem infizierten Gerät ausgeführten Befehle nicht exakt bestätigt werden können.

Wie bereits erwähnt, besteht das Außergewöhnliche von ANDROIDOS_BOTPANDA.A darin, die dynamische Library libvadgo.so zu missbrauchen. Die Schadsoftware versteckt darin ihre bösartigen Routinen, so dass die Analyse erschwert wird. Außerdem beendet sie bestimmte Prozesse, hängt wichtige Systembefehle ein und tauscht Dateien aus. Das macht die Entdeckung und Beseitigung des Schädlings zu einer schwierigen Aufgabe. Falls weitere Android-Schadsoftware in der Zukunft von dieser Technik Gebrauch macht, stehen Sicherheitsexperten vor einer Herausforderung, was die Analyse und Entwicklung von Lösungen betrifft.

Der Schädling läuft ausschließlich auf Geräten mit Root-Rechten. Deshalb ist es wahrscheinlich, dass er sich über App-Stores von Drittanbietern verbreitet. ANDROIDOS_BOTPANDA.A ist ein Grund mehr für Anwender, beim Herunterladen von Apps Vorsicht walten zu lassen, besonders bei solchen aus App-Stores von Drittanbietern. Tipps, wie Anwender sich besser vor Bedrohungen speziell für Android schützen können, hat Trend Micro in den folgenden beiden Ratgebern für das digitale Leben zusammengestellt:

Nachtrag vom 12. Juni

Trend Micro schützt Anwender vor dieser Bedrohung mit seiner Mobile Security Personal Edition, welche die Apps mit der bösartigen Library entdeckt.

Um festzustellen, ob ein Gerät infiziert ist, sollten Anwender einen Blick auf die App-Dateien werfen. Insbesondere sollten sie im Ordner system/lib nach der Datei libdl.so suchen. Außerdem sollten sie im Ordner /system/bin die svc-Datei dahingehend überprüfen, ob diese die Programmzeile /system/bin/ifconfig enthält.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*