Android Backdoor lauert in seriösen Apps

Immer wieder rät der Security-Spezialist ESET Android-Nutzern eindringlich, keine Anwendungen von zwielichtigen Quellen herunterzuladen und bei seriösen Stores wie dem offiziellen Google Play Store zu bleiben. Auch hier taucht zwar hin und wieder Malware auf, aber dank Google Bouncer sind die Kontrollen viel besser als bei alternativen App Stores. Erst vor kurzem hat ESET eine Android-Malware entdeckt, welche die Relevanz des Ratschlags verdeutlicht: Ein RAT (Remote Access Tool), das sich als verschiedene, sichere Android-Applikationen tarnt.

Verbreitungsmechanismen

Android-Malware tarnt sich oftmals als gekrackte Version von beliebten, seriösen Apps – als ein Spiel oder als andere mehr oder weniger nützliche Software. Häufig sind die regulären Funktionen verfügbar, nur dass es einen kleinen Zusatz gibt – einen Trojaner. Auch wenn es sicherlich keine ausnahmslos geltende Regel ist, dass alle in weniger vertrauenswürdigen Stores oder Foren angebotenen Apps schädlich sind, ist die Gefahr hier eindeutig größer.

Der Backdoor-Trojaner, den ESET als Android/Spy.Krysanec erkennt, wurde in Modifikationen der folgenden Apps gefunden: MobileBank (Mobile Banking-App der russischen Sberbank), 3G Traffic Guard (Monitoring-App für die Datennutzung) sowie einige andere, darunter auch die ESET Mobile Security.

Das Android-App-Ökosystem bietet eine zuverlässige Maßnahme gegen solche unbefugten und böswilligen Änderungen, indem die Anwendungen mit dem echten Entwicklerzertifikat digital signiert werden. Die getarnten Krysanec-Varianten hatten keine validen Zertifikate. Natürlich überprüfen nicht alle Nutzer die Anwendungen, die sie auf ihr Smartphone installieren – insbesondere diejenigen nicht, die ihre Apps auf zweifelhaften Quellen suchen.

ESET hat herausgefunden, dass die Malware über verschiedene Kanäle verbreitet wird, wie zum Beispiel typische Filesharing-Seiten (unter anderem Warez) oder ein russisches soziales Netzwerk..

Funktionalität

Die infizierten Anwendungen beinhalten die Android-Version vom Unrecom RAT (Remote Access Tool), ein plattformübergreifendes Remote-Access-Tool. Die Malware ist in der Lage, verschiedene Daten vom infizierten Gerät abzufangen, sich mit seinem Command & Control (C&C) Server zu verbinden sowie andere Plug-in-Module herunterzuladen und auszuführen.

Die Module geben der Backdoor auf dem Gerät unter anderem Zugriff auf:

  • Erstellung von Fotos
  • Aufnahme einer Audiospur mit dem Mikrofon
  • Derzeitige GPS-Lokalisierung
  • Liste aller installierten Anwendungen
  • Liste aller aufgerufenen Webseiten
  • Liste der getätigten Anrufe
  • Kontaktliste
  • SMS (regulär oder WhatsApp)

C&C Server

Interessanterweise wurden einige der von ESET analysierten Malware-Exemplare, die mit dem C&C Server verbunden waren, auf einer Domain gehostet, die dem DDNS-Anbieter no-ip.com gehört. No-IP machte vor kurzem Schlagzeilen, als Microsofts Digital Crime Unit 22 der Domains des Unternehmens übernahm. Diese wurden genutzt, um Malware zu verbreiten. Microsoft hat den Fall anschließend allerdings fallengelassen.

Bei Windows Desktops sind Remote-Access-Tools relativ gängig, bei Android-Geräten hingegen nicht. Der Ratschlag kann also wieder nur lauten: Nutzer sollten die ESET Mobile Security, aber auch alle anderen Apps nur von vertrauenswürdigen Quellen wie dem Google Play Store herunterladen. Und selbst hier sollten sie immer darauf achten, welche Zugriffsrechte eine App verlangt.

 

 

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags