Rooting-Schadsoftware in unabhängigen App Stores

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Unabhängige App Stores lassen sich mit kleinen Läden vergleichen, die im Vergleich zu Kaufhäusern zwar Waren führen, die in den großen Geschäften nicht angeboten werden, doch während in den Kaufhäusern die Sicherheit der Angebote garantiert wird, ist dies in den kleinen Läden nicht der Fall. Weil manche Nutzer ihre Probleme mit dem Riesen Google Play haben, laden sie Apps aus diesen Drittanbieter-Stores herunter. Neben nicht vorhandenen Region Locks gibt es dort weitere Sicherheitslücken. So gehen Entwickler manchmal Partnerschaften mit diesen App Stores ein, sodass Kunden relativ hohe Rabatte für den Download ihrer Apps erhalten. Android-Nutzer müssen im Hinterkopf behalten, dass die Apps aus solchen Stores einer Erlaubnis zum Installieren aus einer „unbekannten Quelle“ bedürfen. Aufgrund von Googles Sicherheitsmaßnahmen ist die eigene Plattform bestimmt die am besten geeignete für den Erwerb von Apps.

Sicherheitsforscher haben in letzter Zeit viele bösartige Apps in den unabhängigen App Stores gefunden. Dazu gehören beliebte mobile Spiele, Sicherheits-Apps, Musik-Streaming, Kameras und viele andere. Sie nutzen sogar dieselbe Verpackung und Zertifizierung wie die echten in Google Play.

Die auffälligste Fähigkeit in den bösartigen Apps (als ANDROIDOS_LIBSKIN.A erkannt) ist die Möglichkeit des Rootings. Dieses Feature kann nämlich als Gateway zu größeren Bedrohungen genutzt werden, denn das Rooting von Android-Geräten kann viel Schaden anrichten. Die Schadsoftware lädt lediglich ohne Wissen der Anwender andere Apps herunter und installiert sie. Diese Apps präsentieren sich als Werbung, die den Nutzer dazu anstachelt, weitere Apps herunterzuladen. Auch können sie dazu verwendet werden, um Nutzerdaten zu sammeln und sie an den Angreifer weiterzuleiten.

Laut der Daten aus dem Trend Micro Mobile App Reputation Service gibt es 1.163 bösartige APKs, die als ANDROIDOS_ LIBSKIN.A erkannt wurden. Zwischen dem 29. Januar und dem 1. Februar sind in 169 Ländern solch bösartige Apps heruntergeladen worden, vor allem aus Stores wie Aptoide, Mobogenie, mobile9 und 9apps. Trend Micro hat die Stores informiert, doch von vielen noch keine Rückmeldung erhalten. Aptoide informierte Trend Micro, dass die bösartigen Apps entfernt worden seien, und sie auch ihre Systeme aktualisieren, um diese Bedrohung zu verhindern.

Bild 1.Infizierte Länder zwischen dem 29. Januar – 1. Februar

Wie die Infektion im Detail funktioniert finden Interessierte im Originalbeitrag.

Bild 2. ANDROIDOS_LIBSKIN.A-Infektionsablauf

Fazit

Wer Apps aus einem anderen Store als der von Google herunterladen will, sollte dies lieber von der Website des Entwicklers tun als aus einem App Store eines Drittanbieters. Auch ist es zu empfehlen, die Reputation des Stores vor dem Kauf zu prüfen. Und schließlich ist es wichtig, eine Sicherheitssoftware auf dem Gerät zu haben, wie etwa Trend Micro Mobile Security Personal Edition, die diese bösartigen Apps erkennt.

Die SHA1-Hashes und URLs in Verbindung mit dieser Bedrohung gibt es im Anhang.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*