Analysen

„Tic Tac Toe“ mit Überraschung

Die Versuche Cyberkrimineller, Schadprogramme als nützliche Anwendungen zu tarnen, sind so häufig geworden, dass sie schon zum Alltag gehören. Doch die Entwickler des neuen mobilen Trojaners Gomal zeigten sich nicht nur bei der Tarnung kreativ, indem sie ihrem Machwerk das Spiel „Tic Tac Toe“ hinzufügten, sondern sie statteten den Schädling auch mit interessanten und für diese Art von Software neuen Techniken aus.

Alles begann damit, dass uns das Spiel Tic Tac Toe zur Analyse überlassen wurde. Auf den ersten Blick machte die Anwendung einen völlig ungefährlichen Eindruck:

Tic Tac Toe mit Überraschung

Die Liste der von dem Spiel angefragten Ermächtigungen ließ uns allerdings stutzig werden. Wozu braucht die Anwendung Zugriff auf das Internet, auf die Kontakte des Anwenders und das SMS-Archiv, wozu die Möglichkeit, Anrufe und Audioaufzeichnungen zu verarbeiten? Wir haben Untersuchungen angestellt und herausgefunden, dass es sich bei diesem „Spiel“ in Wahrheit um eine multifunktionale Spionage-Software handelt. Zum gegenwärtigen Zeitpunkt wird diese Malware von den Kaspersky Lab-Produkten als Trojan-Spy.AndroidOS.Gomal.a detektiert.

Eine sorgfältige Untersuchung des Schädlings hat gezeigt, dass der Code des Spiels selbst weniger als 30% der hauptsächlichen ausführbaren Datei ausmacht. Der Rest ist der Funktionalität zur Bespitzelung des Anwenders und zum Diebstahl persönlicher Informationen vorbehalten.

Tic Tac Toe mit Überraschung

Grün eingefasst der Code des Spiels, mit roter Umrandung – der schädliche Teil des Programms

Was genau zählt nun zu dieser Funktionalität? In erster Linie enthält der Schädling die für mobile Schädlinge schon zum Standardprogramm gehörenden Funktionen ‚Audioaufzeichnung‘

Tic Tac Toe mit Überraschung

und SMS-Diebstahl.

Tic Tac Toe mit Überraschung

Zudem sammelt der Trojaner Informationen über das Gerät und sendet alle ergatterten Daten an den Server seiner Betreiber. Allerdings hat Trojan-Spy.AndroidOS.Gomal.a auch etwas Außergewöhnliches an sich – zusammen mit dem Trojaner wird auch ein ganzes Paket von interessanten Bibliotheken mitgeliefert.

Tic Tac Toe mit Überraschung

Bei einem Teil dieses Paketes handelt es sich um ein Exploit, das unerlässlich zum Erhalt von Root-Rechten auf einem Android-Gerät ist. Mit den erweiterten Privilegien hat die Anwendung Zugriff auf verschiedene Dienste des Betriebssystems Linux (auf dem Android basiert), insbesondere auf das Lesen des Speichers eines Prozesses und /maps.

Nach Erhalt der Root-Rechte macht sich der Trojaner an die Arbeit. So stiehlt er beispielsweise die Mail-Korrespondenz der Anwendung Good for Enterprise, wenn diese auf dem Smartphone installiert ist. Diese App wird als sicherer E-Mail-Client für Unternehmen positioniert, daher könnte der Datendiebstahl aus diesem Programm ernsthafte Probleme für das Unternehmen nach sich ziehen, in dem der angegriffene Mitarbeiter tätig ist. Für die Attacken auf Good for Enterprise empfängt der Trojaner mit Hilfe der Konsole (Befehl ps) die ID des interessierenden Prozesses und liest die virtuelle Datei /proc/<pid>/maps. Diese Datei enthält Informationen über die der Anwendung bereitgestellten Speicherblöcke.

Tic Tac Toe mit Überraschung

Nach Erhalt der Liste von Blöcken findet der Schädling den Block [heap], der die Zeilendaten der Anwendung enthält und erstellt eine Kopie des Speicherinhalts mit Hilfe einer weiteren Bibliothek aus seinem Paket. Daraufhin wird in dem nun erhaltenen Speicherauszug eine Suche nach für E-Mails typischen Signaturen durchgeführt, und die auf diese Weise gefundenen Mails werden an den Server der Cyberkriminellen weitergeleitet.

Darüber hinaus stiehlt Gomal Informationen aus Logcat – einem in Android integrierten Protokollierungsdienst, der für das Debugging von Anwendungen verwendet wird. Sehr häufig hinterlassen Entwickler auch nach der Veröffentlichung ihrer App kritisch wichtige Informationen in Logcat. Dank dieser Tatsache sind Cyberkriminelle in der Lage, noch mehr vertrauliche Informationen aus anderen Programmen zu stehlen.

Unter dem Strich eröffnet das auf den ersten Blick harmlose „Tic Tac Toe“ Verbrechern den Zugriff auf eine enorme Menge persönlicher Daten des Anwenders, sowie auf die Daten des Unternehmens, in dem er arbeitet. Die von Gomal angewandte Technik trat erstmals in Windows-Trojanern in Erscheinung, doch wie wir sehen, wird sie nun auch in Android-Schädlingen eingesetzt. Das Gefährlichste dabei ist jedoch, dass unter Anwendung derselben Prinzipien nicht nur Informationen aus Good for Enterprise gestohlen werden können: Es ist nicht ausgeschlossen, dass schon bald eine ganze Reihe von mobilen Schädlingen auf den Plan tritt, die weit verbreitete E-Mail-Clients, Messenger und andere Programme angreifen.

„Tic Tac Toe“ mit Überraschung

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach