Android-Schädling lädt Module im Flug

SecurityWeek berichtet von der Entdeckung eines Android-Trojaners, der das legitime Framework DroidPlugin zur Selbstaktualisierung und zum Verbergen der schädlichen Aktivität benutzt.

Der mobile Schädling, der bei Palo Alto Networks auf den Namen PluginPhantom getauft wurde, ist auf Datendiebstahl spezialisiert und in der Lage, Dateien, die Kontakte des Opfers, Geolokalisationsdaten und Informationen, die mit der WLAN-Nutzung zu tun haben, abzugreifen. Er kann zudem Fotos aufnehmen, Screenshots erstellen, Audioaufnahmen machen, SMS abfangen und versenden und die Tastenbetätigungen aufzeichnen.

PluginPhantom unterscheidet sich dadurch von anderen multifunktionalen Android-Trojanern, dass er DroidPlugin für die Aufteilung der schädlichen Funktionen unter den zahlreichen Plugins nutzt, während sich die Host-App selbst vollkommen harmlos verhält. Das Virtualisierungs-Framework DroidPlugin wurde von dem chinesischen IT-Sicherheitsunternehmen Qihoo 360 entwickelt und ermöglicht es Programmierern laut Bleeping Computer, Android-Programme zu entwickeln, die Plugins in Echtzeit aus lokalen oder entfernten Quellen laden; dabei muss der Nutzer dem Download/der Installation einer solchen APK-Datei nicht eigens zustimmen.

Durch solche Projektlösungen kann ein Programm so leicht wie nur möglich gemacht werden, zahlreiche Accounts werden unterstützt, was gerade für Apps in sozialen Netzwerken von Bedeutung ist, und es können „dringende Patches“ in Echtzeit ohne Beteiligung vom Google Play Store verbreitet werden. Doch mit einem Schädling, der sich die Möglichkeiten von DroidPlugin zunutze macht, haben es die Forscher zum ersten Mal zu tun und sie weisen darauf hin, dass diese Neueinführung die statische Erkennung wesentlich erschwert.

Aktuell operiert PluginPhantom mit neun Plugins, die als Ersatzdateien in die Host-App integriert sind. Drei von ihnen führen Basisoperationen durch, wie etwa die Kommunikation mit dem C&C, Updates, Ausgabe der gestohlenen Daten, Befehlsweitergabe an andere schädliche Module. Die übrigen Plugins führen Funktionen aus, die nicht direkt mit dem Diebstahl von Daten in Verbindung stehen:

  • die Suche nach Dateien und die Systematisierung nach verschiedenen Parametern;
  • Abgreifen von Daten über den Standort des mobilen Geräts;
  • Diebstahl der Anrufliste, der Geräte-ID, der Kontaktinformationen, Abfangen von SMS und Anrufen von vordefinierten Nummern;
  • Aufnehmen von Fotos mit der eingebauten Kamera und Erhalt von Screenshots;
  • Aufzeichnung der Hintergrundgeräusche und aller eingehenden Anrufe auf Befehl;
  • Diebstahl der WLAN-Informationen (SSID, Passwort, IP-Adresse, MAC), der Systemdaten, Diebstahl von Informationen über installierte Apps.

Die Forscher wiesen zudem darauf hin, dass die Host-App selbst Keylogger-Funktionen ausführen kann, indem sie sich spezielle Möglichkeiten von Android (Accessibility) zunutze macht. Doch dazu benötigt sie Zugriffsrechte, die beim Nutzer angefragt werden müssen – angeblich für irgendeinen Service zum Säubern des Speichers.

In einem Kommentar erklärten die Experten von SecurityWeek, dass sie keinerlei Grund zu der Annahme haben, dass PluginPhantom in Google Play eingedrungen ist, allerdings verfügen sie über keinerlei Informationen darüber, wie sich der Schädling verbreitet. Es ist bisher auch nicht gelungen, das Zielspektrum von PluginPhantom zu definieren, doch die von PluginPhantom zusammengetragenen Geolokalisationsdaten werden mit den Koordinatensystemen in Verbindung gebracht, die die Online-Kartendienste Baidu Maps und Amap Maps verwenden, welche in China äußerst populär sind.

In ihrem Fazit warnen die Experten von Palo Alto, dass andere Malware-Entwickler dem Beispiel der Autoren des neuen Android-Schädlings folgen könnten und sich DroidPlugin massenhaft als Verbergungsmethode etablieren und damit die derzeit populären Repacks verdrängen könnte. „Da das Entwicklungsschema von Plugins allgemeinen Charakter trägt und das entsprechende SDK problemlos zu integrieren ist, könnten Android-Schädlinge mit erweiterter Architektur sich zu einem Trend entwickeln“, zitiert der Reporter von SecurityWeek die Forscher.

Quelle: Securityweek

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.