„Tic Tac Toe“ mit Überraschung

Die Versuche Cyberkrimineller, Schadprogramme als nützliche Anwendungen zu tarnen, sind so häufig geworden, dass sie schon zum Alltag gehören. Doch die Entwickler des neuen mobilen Trojaners Gomal zeigten sich nicht nur bei der Tarnung kreativ, indem sie ihrem Machwerk das Spiel „Tic Tac Toe“ hinzufügten, sondern sie statteten den Schädling auch mit interessanten und für diese Art von Software neuen Techniken aus.

Alles begann damit, dass uns das Spiel Tic Tac Toe zur Analyse überlassen wurde. Auf den ersten Blick machte die Anwendung einen völlig ungefährlichen Eindruck:

Tic Tac Toe mit Überraschung

Die Liste der von dem Spiel angefragten Ermächtigungen ließ uns allerdings stutzig werden. Wozu braucht die Anwendung Zugriff auf das Internet, auf die Kontakte des Anwenders und das SMS-Archiv, wozu die Möglichkeit, Anrufe und Audioaufzeichnungen zu verarbeiten? Wir haben Untersuchungen angestellt und herausgefunden, dass es sich bei diesem „Spiel“ in Wahrheit um eine multifunktionale Spionage-Software handelt. Zum gegenwärtigen Zeitpunkt wird diese Malware von den Kaspersky Lab-Produkten als Trojan-Spy.AndroidOS.Gomal.a detektiert.

Eine sorgfältige Untersuchung des Schädlings hat gezeigt, dass der Code des Spiels selbst weniger als 30% der hauptsächlichen ausführbaren Datei ausmacht. Der Rest ist der Funktionalität zur Bespitzelung des Anwenders und zum Diebstahl persönlicher Informationen vorbehalten.

Tic Tac Toe mit Überraschung

Grün eingefasst der Code des Spiels, mit roter Umrandung – der schädliche Teil des Programms

Was genau zählt nun zu dieser Funktionalität? In erster Linie enthält der Schädling die für mobile Schädlinge schon zum Standardprogramm gehörenden Funktionen ‚Audioaufzeichnung‘

Tic Tac Toe mit Überraschung

und SMS-Diebstahl.

Tic Tac Toe mit Überraschung

Zudem sammelt der Trojaner Informationen über das Gerät und sendet alle ergatterten Daten an den Server seiner Betreiber. Allerdings hat Trojan-Spy.AndroidOS.Gomal.a auch etwas Außergewöhnliches an sich – zusammen mit dem Trojaner wird auch ein ganzes Paket von interessanten Bibliotheken mitgeliefert.

Tic Tac Toe mit Überraschung

Bei einem Teil dieses Paketes handelt es sich um ein Exploit, das unerlässlich zum Erhalt von Root-Rechten auf einem Android-Gerät ist. Mit den erweiterten Privilegien hat die Anwendung Zugriff auf verschiedene Dienste des Betriebssystems Linux (auf dem Android basiert), insbesondere auf das Lesen des Speichers eines Prozesses und /maps.

Nach Erhalt der Root-Rechte macht sich der Trojaner an die Arbeit. So stiehlt er beispielsweise die Mail-Korrespondenz der Anwendung Good for Enterprise, wenn diese auf dem Smartphone installiert ist. Diese App wird als sicherer E-Mail-Client für Unternehmen positioniert, daher könnte der Datendiebstahl aus diesem Programm ernsthafte Probleme für das Unternehmen nach sich ziehen, in dem der angegriffene Mitarbeiter tätig ist. Für die Attacken auf Good for Enterprise empfängt der Trojaner mit Hilfe der Konsole (Befehl ps) die ID des interessierenden Prozesses und liest die virtuelle Datei /proc/<pid>/maps. Diese Datei enthält Informationen über die der Anwendung bereitgestellten Speicherblöcke.

Tic Tac Toe mit Überraschung

Nach Erhalt der Liste von Blöcken findet der Schädling den Block [heap], der die Zeilendaten der Anwendung enthält und erstellt eine Kopie des Speicherinhalts mit Hilfe einer weiteren Bibliothek aus seinem Paket. Daraufhin wird in dem nun erhaltenen Speicherauszug eine Suche nach für E-Mails typischen Signaturen durchgeführt, und die auf diese Weise gefundenen Mails werden an den Server der Cyberkriminellen weitergeleitet.

Darüber hinaus stiehlt Gomal Informationen aus Logcat – einem in Android integrierten Protokollierungsdienst, der für das Debugging von Anwendungen verwendet wird. Sehr häufig hinterlassen Entwickler auch nach der Veröffentlichung ihrer App kritisch wichtige Informationen in Logcat. Dank dieser Tatsache sind Cyberkriminelle in der Lage, noch mehr vertrauliche Informationen aus anderen Programmen zu stehlen.

Unter dem Strich eröffnet das auf den ersten Blick harmlose „Tic Tac Toe“ Verbrechern den Zugriff auf eine enorme Menge persönlicher Daten des Anwenders, sowie auf die Daten des Unternehmens, in dem er arbeitet. Die von Gomal angewandte Technik trat erstmals in Windows-Trojanern in Erscheinung, doch wie wir sehen, wird sie nun auch in Android-Schädlingen eingesetzt. Das Gefährlichste dabei ist jedoch, dass unter Anwendung derselben Prinzipien nicht nur Informationen aus Good for Enterprise gestohlen werden können: Es ist nicht ausgeschlossen, dass schon bald eine ganze Reihe von mobilen Schädlingen auf den Plan tritt, die weit verbreitete E-Mail-Clients, Messenger und andere Programme angreifen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.