„Schlechte Nachricht“ für Android

Die Experten des Unternehmens für mobile Sicherheit Lookout haben Vertreter einer neuen Familie von Android-Trojanern in 32 Anwendungen entdeckt, die von vier verschiedenen Entwicklern bei Google Play hinterlegt worden waren. Laut Statistik des Online-Shops wurden die infizierten Produkte zwischen 2 und 9 Millionen Mal heruntergeladen.

Der Schädling mit dem Namen BadNews kommt als harmloses, wenngleich etwas aggressives SDK-Paket für ein Werbenetz daher. Um den Schutz von Google Play zu umgehen, haben die Autoren des Schädlings ein Pseudo-Werbenetz erstellt, über das der Download des Schadcodes auf die infizierten Geräte umgesetzt wird. Beim Start von BadNews sendet der Schädling Informationen über das infizierte Gerät an einen Steuerungsserver (Telefonnummer, IMEI), und daraufhin verbindet er sich alle vier Stunden mit ihm, um weitere Instruktionen entgegenzunehmen. Die Funktionalität des neuen Trojaners ermöglicht es ihm, auf dem Bildschirm gefälschte Mitteilungen im Namen legaler Web-Services abzubilden (Skype, VKontakte), und den Anwender so zum Download anderer Schadprogramme zu provozieren. Bei der Analyse eines Samples von BadNews entdeckten die Ermittler, dass er einen wohlbekannten Trojaner transportiert, der Textmitteilungen an russische Premiumnummern versendet. Die Analyse hat zudem ergeben, dass der Code des neuen Schädlings dem vieler SMS-Trojaner osteuropäischer Herkunft gleicht.

Da sie BadNews über C&C-Server steuern, sind die Cyberkriminellen in der Lage, die Ausführung seiner schädlichen Funktionalität zu verzögern. In diesem Fall ergibt die erste Überprüfung, dass das heruntergeladene Programm völlig harmlos ist. Daher rät Lookout den Entwicklern von Anwendungen, sich von der Vertrauenswürdigkeit der Bibliotheken von dritter Seite zu überzeugen, die in neue Produkte integriert werden, und den Sicherheitsdiensten von Unternehmen wird empfohlen, die Erstbewertung von Anwendungen durch eine darauf folgende Überwachung ihrer Aktivität zu ergänzen.

Etwa die Hälfte der von Lookout entdeckten schädlichen Android-Anwendungen ist an russischsprachige Spiele, animierte Wallpapers, Diät- und Rezeptsammlungen, Wörterbücher und Nachschlagewerke gekoppelt. Den Experten zufolge sind alle infizierten Programme bereits aus dem Google-Shop entfernt worden, und die Accounts ihrer Entwickler wurden blockiert. Lookout konnte drei Steuerungsserver identifizieren, die von den Betreibern von BadNews in Russland, Deutschland und der Ukraine eingesetzt werden. Sie sind noch immer aktiv, doch das Unternehmen arbeitet daran, sie außer Betrieb zu setzen.

Quelle: Lookout

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.