Google Play von neuster Adware befreit

Aus Google Play wurden mehr als ein Dutzend Apps entfernt, nachdem Experten festgestellt hatten, dass es sich bei ihnen um Imitate legitimer Programme handelt, die einzig zu dem Zweck entwickelt wurden, die Besitzer von Android-Geräten aggressiv mit Werbung zu belästigen.

Nach Angaben von Zscaler versucht der neue Adware-Schädling den Nutzer durch Betrug dazu zu bringen, ihm Administratorenrechte zu übertragen. Nachdem er die gewünschten Rechte erhalten hat, beginnt er dem Nutzer über das gesamte Display Werbung anzuzeigen, Links im Browser zu öffnen, ein YouTube-Video zu starten, installierte Apps zu öffnen und Shortcuts auf Websites auf dem Startbildschirm abzubilden.

Unter den in Google Play eingeschleusten potentiell gefährlichen Programmen befanden sich eine Reihe von Spielen, ein Photo-Editor, ein Barcodescanner und ein Kompass. Vier dieser Apps wurden zwischen 10.000 und 50.000 Mal heruntergeladen. „Eine erste Analyse hat gezeigt, dass sie keine Funktionen enthalten, die Administratorenrechte auf dem Gerät erforderlich machen“, schreibt der Experte für Android-Bedrohungen Gaurav Shinde im Blog von Zscaler.

Nach den Worten des Forschers enthielten die meisten von Zscaler analysierten Programmpakete eine Piratenkopie einer legitimen App. Eine APK mit dem Paketnamen com.ndk.taskkiller enthielt beispielsweise eine gehackte Version der Apps Battery Saver HD und Task Killer (zum sparsamen Akkuverbrauch).

Der Schadcode, der in einer solchen Kopie enthalten ist, ermöglicht es der schädlichen Anwendung, in Verbindung mit dem C&C-Server der Angreifer zu bleiben. „Nach der erfolgreichen Installation verbinden sich diese Apps mit einem in den Einstellungen vorgegebenen Steuerungsserver und führen die von ihm erhaltenen Befehle aus“, schreibt Shinde.

Der erste Befehl, den die Adware ausführt, ist die Anforderung von Administratorenrechten. Um den Nutzer dazu zu bringen, solche Rechte zu übertragen, erstellt der Schädling ein gefälschtes Android-Konfigurationsmenü und fordert den Nutzer auf, einen gewissen ‚Plus Service‘ zu aktivieren. „Wenn der Nutzer der Anwendung Administratorenrechte zuerkennt, wird eine Deinstallation nur noch durch Entzug dieser Rechte möglich“, erklärt Shinde.

Um den in Google Play integrierten Schutz zu umgehen, haben die Cyberkriminellen schädliche Pakete in das originale Android-Paket GMS eingeschleust. „Die Platzierung des eingeschleusten Codes verdient unsere Aufmerksamkeit“, erzählt Shinde. „Das Paket com.google.android.gms ist das Original, das für Google Mobile Services (GMS) verwendet wird. In diesem Fall wurde in diese Pakete ein Paket mit dem Namen logs zur Umgehung der Detektionsmethoden eingeschleust.“

Alle Strings des Schadcodes sind obfuskiert. „Die hier verwendete Verschlüsselungstechnik ist einfach, doch sie hat erfolgreich ihren Zweck erfüllt“, bezeugt Shinde. „Nach der Dechiffrierung aller Strings offenbarte der deobfuskierte Code alle in ihm verborgenen Geheimnisse.“

Unter anderem wurde die Möglichkeit aufgedeckt, dynamisch eine zusätzliche dex-Datei mit Code zu laden, der bei der Ausführung bestimmte YouTube Videos abspielt, was wiederum den Autor dieser Clips Geld in die Kasse spült. Die Fähigkeit, .dex-Dateien zu laden und zu aktivieren, eröffnet dem Schädling die Möglichkeit, beliebigen Code auszuführen, den er vom C&C-Server erhält. „Es ist bemerkenswert, dass diese dex-Datei nicht direkt in die Originalanwendung integrierte wurde, sondern während ihrer Ausführung geladen wird“, kommentiert Deepen Desai, Senior Director of Research and Operations bei Zscaler. „Das bedeutet, dass der Entwickler der App den Code von secondlib.dex jederzeit ändern kann, und er auf dem Gerät ausgeführt wird, ohne dass der Nutzer die Anwendung aktualisieren muss.“

Die verborgenen schädlichen Funktionen beinhalteten zudem einen Anhalten-Modus für die Adware-Komponente: Sie zeigt in den ersten sechs Stunden nach Installation keinerlei Aktivität. Die Forscher vermuten, dass dieser Ansatz den schädlichen Apps das Umgehen des Scanners VerifyApps auf Google Play erleichtert. Denn bei einer Überprüfung führt VerifyApps eine Anwendung nur ein paar Minuten lang aus, um ihr Verhalten zu analysieren.

Der neue Schädling kann auch vom C&C Befehle zum Verbergen/Anzeigen seines Icons ausführen. So können die Angreifer vermeiden, dass der Anwender auf den Schädling aufmerksam wird. „Das Icon der App wird verborgen, wenn die Anwendung im Laufe von fünf Tagen nicht verwendet wird“, heißt es im Blogeintrag von Zscaler. „In den meisten Fällen reicht das aus, damit der User nicht errät, woher die lästige Werbung kommt.“

Google ist der Bitte von Threatpost nach einem Kommentar bisher nicht nachgekommen.

Laut Aussage von Desai wurden die potentiell gefährlichen Anwendungen 24 Stunden, nachdem die erste von ihnen aufgetaucht war, aus dem Google Play Store gelöscht. Außer bei Google Play wurden sie nirgends registriert – zählt man die beworbenen Videoclips auf YouTube nicht dazu. „Wir haben ein YouTube-Video für das Spiel Eighth Note Jump entdeckt, das innerhalb des letzten Monats immer populärer wurde“, berichtet Desai. „Die Beschreibung dieses Videos enthält einen Download-Link, der auf eine der schädlichen Apps verweist.“

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.