GCM in schädlichen Anwendungen

Das Betriebssystem Android verfügt über einen interessanten Dienst – GCM, Google Cloud Messaging. Dieser Service macht es möglich, über die Server von Google Mitteilungen von geringer Größe (bis 4-х KB) im Format JSON auf das mobile Gerät zu übermitteln. Diese Mitteilungen können beliebig strukturierte Daten enthalten, z.B. Links, Werbeinformationen oder Befehle.

Um den Dienst nutzen zu können, erhält der Entwickler für seine Anwendungen eine individuelle ID, mit der diese Anwendungen bei GCM registriert werden. Nach der Registrierung kann der Entwickler die Daten an alle Geräte senden, auf denen die registrierten Anwendungen installiert sind, oder aber nur an einige von ihnen.

Der Dienst wird zur Bestimmung der Koordinaten gestohlener Geräte, zur entfernten Konfiguration des Telefons, zum Versand von Mitteilungen über das Erscheinen neuer Spiele-Levels oder Waren usw. verwendet.

Es wäre schon seltsam, wenn Cyberkriminelle die Möglichkeiten nicht zu nutzen wüssten, die dieser Service ihnen bietet. Wir haben einige Schadprogramme entdeckt, die GCM als C&C benutzen.

Trojan-SMS.AndroidOS.FakeInst.a

Dieses Schadprogramm ist eines der am weitesten verbreiteten Android-Schädlinge. Wir haben mehr als 4.800.000 installierte Pakete dieses Trojaners gefunden, und allein im letzten Jahr hat Kaspersky Mobile Security (KMS) mehr als 160.000 seiner Installationen blockiert.

Der Trojaner kann SMS an Premium-Nummern versenden, eingehende SMS löschen, Shortcuts zu schädlichen Websites und Benachrichtigungen mit Werbung anderer Schadprogramme erstellen, die als nützliche Anwendungen oder Spiele verbreitet werden.

Der Trojaner registriert sich im GCM:

Auf Befehl von GCM kann der Trojaner Premium-SMS versenden:

Der Trojaner FakeInst.a wurde in mehr als 130 Ländern gefunden. Im Wesentlichen ist er auf Russland, die Ukraine, Kasachstan und Usbekistan ausgerichtet – auf diese Länder entfallen mehr als 160.000 der von KMS blockierten Installationen.

Trojan-SMS.AndroidOS.Agent.ao

Dieser Trojaner gibt sich als Porno-Anwendung aus, enthält insgesamt aber nur genau zwei Bilder. Der Hauptzweck des Trojaners besteht im Versenden von Premium-SMS. Wir haben mehr als 300 installierte Pakete dieses Trojaners gefunden.


Der Trojaner nutzt GCM zum Empfang von Updates:

Überdies wird GCM zur Übermittlung von Befehlen zum SMS-Versand und zur Erstellung von Benachrichtigungen missbraucht – Informations- oder Werbemitteilungen im Benachrichtigungsfeld:

Insgesamt hat KMS über 6.000 Installationsversuche von Trojan-SMS.AndroidOS.Agent.ao blockiert. Der Schädling attackiert hauptsächlich mobile Geräte von britischen Anwendern – auf sie entfallen mehr als 90% aller Infektionsversuche. Aber auch in der Schweiz, dem Iran, in Kenia und Südafrika sind wir auf diesen Trojaner gestoßen.

Trojan-SMS.AndroidOS.OpFake.a

Das klassische Beispiel für einen SMS-Trojaner. Der Schädling breitet sich in dem Paketformat APK aus, wobei er sich als verschiedene Spiele, Programme usw. ausgibt. Insgesamt haben wir über eine Million verschiedener installierter Pakete dieses Trojaners gefunden.

Gerät der Schädling auf ein mobiles Gerät, so verbindet er sich umgehend mit seinem C&C:

Daraufhin registriert er sich bei GCM:


Das C&C und GCM sind für ihn nun gleichberechtigte Befehlsquellen.

Der Trojaner verfügt über eine überaus umfassende Funktionalität:

  • Versenden von Premium-SMS an eine vorgegebene Nummer
  • Versenden einer SMS (üblicherweise mit einem Link auf sich selbst oder einen anderen Schädling) an eine vorgegebene Nummer, meist aus der Kontaktliste des Anwenders
  • Aktualisieren seiner selbst
  • Diebstahl von SMS
  • Löschen eingehender SMS, die den vom C&C erhaltenen Kriterien entsprechen
  • Diebstahl der Kontakte
  • Austausch des C&C oder der GCM-Nummer
  • Stoppen und Starten seiner Aktivität

Interessant ist, dass Android 4.2 bei der Installation einiger Versionen dieses Trojaners den Nutzer vor einer schädlichen Anwendung warnt. Leider gilt das nicht für alle Modifikationen.


Wir sind in 97 Ländern auf diesen Trojaner gestoßen. Am weitesten verbreitet ist er in Russland, der Ukraine, in Kasachstan, Aserbaidschan, Weißrussland und Usbekistan. Auf diese Länder entfallen mehr als 60.000 der von KMS blockierten Installation von OpFake.a.

Auf Italien und Deutschland entfallen über 1.000 Infektionsversuche.

Backdoor.AndroidOS.Maxit.a

Diesen Backdoor entdeckten wir Ende des Jahres 2011 und bis zum heutigen Tag erscheinen immer wieder neue Modifikationen – derzeit sind es insgesamt über 40. Dabei ähneln sie einander alle sehr – die Anwendung öffnet eine Website mit Spielen, und im Hintergrund startet die schädliche Aktivität.


Zuallererst sammelt der Backdoor Informationen über das Telefon und die SIM-Card, darunter Telefonnummer und Name des Mobilfunkanbieters. Alle Daten werden auf den C&C-Server androidproject.imaxter.net geladen. Für die Steuerung des Trojaners ist hauptsächlich dieser Server zuständig.


Daraufhin registriert sich der Schädling bei GCM, das als zusätzliche Befehlsquelle genutzt wird:

Die Funktionalität dieses Backdoors zielt im Wesentlichen auf die verborgene Manipulation von SMS ab — Versand, Löschen und Umleitung eingehender Kurzmitteilungen. Darüber hinaus kann er ohne Wissen des Anwenders Shortcuts installieren und selbstständig Webseiten öffnen. Zudem ist er in der Lage, Anrufe zu initiieren – diese Aktion macht allerdings die Zustimmung des Anwenders erforderlich.

Dieser Schädling wird von der Website http://www.momozaap.com/ aus verbreitet.

Innerhalb des letzten Jahres hat Kaspersky Mobile Security fast 500 Installationen dieses Backdoors blockiert. Am häufigsten ist dieses Schadprogramm auf dem Gebiet Malaysias anzutreffen, einige Male wurde er auch in Thailand, auf den Philippinen und in Birma gefunden.

Wir weisen zudem darauf hin, dass im Code des Schadprogramms eine malaiische Telefonnummer angegeben ist.

Diese Nummer wird nirgends verwendet, doch vermutlich planen die Cyberkriminellen, sie als zusätzliche Befehlsquelle einzusetzen.

Trojan-SMS.AndroidOS.Agent.az

Dieser Trojaner ist uns seit Mai 2012 bekannt. Es handelt sich dabei um eine Anwendungshülse für eine vietnamesische Porno-Website, die zudem SMS an Premium-Nummern verschickt. Zum gegenwertigen Zeitpunkt sind 1.000 solcher Anwendungen detektiert, und allein im letzten Jahr blockierte KMS über 1.500 ihrer Installationen.

Nach dem Start registriert sich der Trojaner bei GCM:

Dann öffnet er eine Website mit Porno-Videos:

Danach erfolgt das Versenden einer SMS an eine Premium-Nummer.

GCM wird von dem Trojaner zum Empfang gewisser Informationsmitteilungen und deren Platzierung im Benachrichtigungsfeld des Mobiltelefons benutzt:


Offensichtlich weil der Trojaner sich ganz klar gegen vietnamesische Anwender richtet (alle Zeilen, die der Nutzer sieht, sind in vietnamesischer Sprache), wurden auf unser Test-Telefon mit russischer Nummer keinerlei Mitteilungen gesendet. Doch die Erfahrung zeigt, dass auf diese Weise höchstwahrscheinlich Werbung anderer Schadprogramme verbreitet wird, die als nützliche Anwendungen oder Spiele getarnt in Umlauf gebracht werden.

Dieser Trojaner ist hauptsächlich in Vietnam anzutreffen, obgleich wir ihn auch hin und wieder in Russland, Italien, Indonesien und Malaysia detektiert haben.

Fazit

Zum gegenwärtigen Zeitpunkt gibt es noch nicht so sehr viele mobile Schadprogramme, die GCM benutzen, doch einige von ihnen sind überaus populär. Diese Programme sind in einigen Ländern Westeuropas, in den GUS-Staaten und in Asien verbreitet.

Zweifellos ist der Service GCM für Entwickler legaler Programme sehr nützlich. Virenautoren nutzen Google Cloud Messaging als zusätzliches C&C für ihre Trojaner. Dabei übernimmt die Verarbeitung der von GCM erhaltenen Befehle das System, und es ist nicht möglich diese direkt auf dem infizierten Gerät zu blockieren. Die einzige Methode, diesen Verbindungskanal der Virenschreiber zu ihrer Malware zu kappen, besteht in der Sperrung der Entwickler-Accounts, deren ID die Schadprogramme bei der Registrierung verwenden.

Wir haben Google die GCM-ID, die in den von uns entdeckten Schadprogrammen verwendet werden, mitgeteilt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.