Erpresser Charger aus Google Play gelöscht

Die Forscher bei Check Point haben eine neue Spielart der Erpressersoftware Charger für Android identifiziert. Dieser Schädling wurde in EnergyRescue eingeschleust, eine Energiespar-App zur Verlängerung der Akkulaufzeit, die über Google Play verbreitet wird.

Check Point entdeckte die infizierte Anwendung vor drei Wochen und Google hat sie mittlerweile aus seinem Shop entfernt. Nach Angaben der Experten ist es seitens der Cybergangster ein durchaus gewagter Schritt, die Malware über Google Play zu verbreiten, in den allermeisten Fällen werden Android-Schädlinge über Dritt-Websites verbreitet.

„Charger zeugt von den zunehmenden Bestrebungen der Entwickler mobiler Schädlinge, ihre Kollegen auf dem Gebiet PC-Schadprogramme einzuholen“, schreiben die Analysten Oren Koriat und Andrey Polkovnichenko im Blog von Check Point. Gegenüber Threatpost erklärten die Forscher: „EnergyRescue verfügt über das größte Arsenal von Funktionen zur Umgehung einer Analyse, das uns je untergekommen ist.“

Ihren Worten zufolge sind die meisten Schädlinge, denen es gelingt in Google Play einzudringen, für das Anzeigen unerwünschter Werbung vorgesehen, die den Betrügern Geld in die Kasse spülen. Charger verfolgt allerdings andere Ziele. Nach der Installation stiehlt die infizierte Anwendung EnergyRescue die Kontakte und SMS des Opfers und versucht, Administratorenrechte zu erhalten. „Stellt der Nutzer diese Rechte bereit, blockiert der Erpresser das Gerät und zeigt eine Mitteilung mit einer Zahlungsforderung an“, erzählen die Forscher.

Die Höhe des Lösegeldes beträgt 0,2 Bitcoin (180 Dollar). Der von Charger angezeigte Text ist nicht besonders gut gemacht, er strotzt vor Ausrufezeichen und beginnt mit einer Drohung: „Sie müssen an uns zahlen, sonst verkaufen wir alle 30 Minuten eine Portion Ihrer persönlichen Daten auf dem Schwarzmarkt.“ Die Cyberverbrecher garantieren überdies, dass die „Dateien wiederhergestellt werden“ – nach Zahlungseingang – und dass alle persönlichen Daten, die ihnen bis dahin in die Hände gefallen sind, gelöscht werden. „Wir sammeln und laden alle Ihre persönlichen Daten“, heißt es in der Mitteilung des Schädlings. „Alle Informationen über Ihre sozialen Netzwerke, Bankkonten, Kreditkarten. Wir sammeln alle Daten über Ihre Freunde und Familie.“

Tatsächlich verschlüsselt Charger die Informationen auf dem Smartphone nicht, er blockiert sie lediglich und verlangt ein Lösegeld. „Die meisten Schadprogramme, die bei Google Play gefunden wurden, enthalten nur Dropper, die im Folgenden echte Schadkomponenten auf das Gerät laden“, schreiben Koriat und Polkovnichenko. „Charger verwendet einen anderen Ansatz: Er ist sorgfältig verpackt, wodurch er nicht unbemerkt bleibt. Das muss er mit anderen Mitteln kompensieren.“

Eine der Verbergungstechniken besteht darin, die Zeilen in Doppelarrays zu kodieren, die schwer zu analysieren sind. Charger lädt zudem dynamisch Code aus den verschlüsselten Ressourcen, und die meisten Erkennungsmethoden sind nicht in der Lage, in sie einzudringen und eine Überprüfung durchzuführen.“ Um die wahren Absichten des Schädlings zu verbergen, haben die Virenautoren in den Code unsinnige Befehle integriert, die den Strom echter Befehle tarnen sollen. Zudem haben sie ihn mit Mitteln ausgestattet, die einen Start im Emulator des Betriebssystems erkennen; in diesem Fall geht Charger in den Schlafmodus über. „Das bedeutet, dass Mittel zur statischen Analyse, wie etwa Bouncer, die verschlüsselten Teile des Codes nicht analysieren können, die für die schädliche Aktivität verantwortlich sind“, erklären die Forscher.

Erpresser für mobile Geräte sind laut Angaben von Check Point noch immer eine relativ neue Erscheinung. Die Mehrheit dieser Infektionen erfolgt unter Umgehung des offiziellen App-Stores über Anwendungen, die von Dritt-Websites quergeladen werden.

In einer kurzen Stellungnahme gegenüber Threatpost erklärten Google-Vertreter Folgendes: „Wir wissen die Bemühungen von Check Point zu schätzen, die Öffentlichkeit stärker über dieses Problem zu informieren. Wir haben die entsprechenden Maßnahmen auf Play ergriffen und arbeiten weithin eng mit der Forscher-Community zusammen, um die Sicherheit der Android-Nutzer zu gewährleisten.“

Laut Angaben von Google werden die Apps in Google Play entsprechend der Richtlinienübersicht für Entwickler und der Vereinbarung für den Entwicklervertrieb überprüft. Dadurch werden Versuche abgewehrt, schädliche Apps als fremde, legitime Anwendungen auszugeben oder Programme mit betrügerischen Tendenzen bei Google Play einzuschleppen. Auf der Android Security Page heißt es: „Alle Anwendungen für Android, die auf Google Play verfügbar sind, werden einer sorgfältigen Überprüfung unterzogen. Wir überprüfen zudem alle Entwickler und blockieren die, die unsere Regeln missachten. Daher können Sie von der Sicherheit der Anwendungen in Google Play überzeugt sein.“

Trotzdem setzt Google „auf die Community von Nutzern und Entwicklern, die das Recht haben, die Apps zur zusätzlichen Überprüfung freizugeben.“

Die Vertreter von Check Point erklärten ihrerseits, dass EnergyRescue – soweit sie wüssten – die einzige Anwendung sei, die Charger enthalte: „Wir glauben, dass das nur ein erster Versuch der Virenautoren war und wir künftig noch mehr solcher Versuche zu erwarten haben.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.