Android: Schadsoftware aus Play Store hunderttausendfach installiert

10. Jänner 2016, 09:35
89 Postings

Neuer Abkömmling der "Brain Test"-Familie trickst Googles Sicherheitschecks aus

Geht es um Android-Malware fällt der Ratschlag für die Nutzer meist recht simpel aus: Wer auf die Installation von Apps aus unsicheren Quellen verzichtet, ist üblicherweise auch nicht gefährdet. Doch in einem aktuellen Fall ist es Angreifern nun gelungen, die Sicherheitschecks des Play Store auszutricksen.

Beliebte Apps

Gleich 13 mit Schadsoftware versehene Apps hat der Sicherheitsdienstleister Lookout Security in Googles App Store aufgespürt. Und dabei handelt es sich keineswegs um kaum bis nichtgenutzte Apps: Das beliebteste der betreffenden Programm, das Spiel Honey Comb, wurde mehr als 500.000-mal installiert.

Brain Test

All die betreffenden Apps gehören zur Familie der "Brain Test"-Malware, die vergangenes Jahr erstmals in Erscheinung getreten ist. Der Ablauf ist dabei immer der Gleiche: Die Hersteller veröffentlichen zunächst eine unscheinbare App ohne Schadcode, die Malware-Funktionen werden erst mit einem späteren Update eingeschmuggelt.

Zwei der infizierten Apps, die mittlerweile aus dem Play Store entfernt wurden.

Root-Gefährdung

Einmal installiert, überprüft die Schadsoftware, ob das Gerät gerootet ist. Ist dies der Fall, verankert sich die Malware fix auf der Systempartition. Für die Nutzer hat dies äußerst unangenehme Konsequenzen: Hilft doch nach einer solchen Infektion auch kein Factory Reset mehr, um die Schadsoftware loszuwerden, infolge muss dann schon die Firmware vollständig neu geflasht werden – so man denn überhaupt Zugriff auf ein solches Image hat, immerhin bieten längst nicht alle Hersteller ein solches an.

Möglichkeiten

Eigene Versuche, das Smartphone oder Tablet über bekannte Exploit-Kits zu rooten, scheint es hingegen bisher nicht gegeben zu haben. Bei früheren Brain-Test-Varianten war dies sehr wohl der Fall, eventuell hat hier Lookout die Schadsoftware einfach noch in einer frühen Phase entdeckt, bevor sie ihr volles Unwesen entfalten konnte. Jedenfalls wäre es durchaus möglich gewesen, weiteren Schadcode nachzuladen. Immerhin lässt sich die Malware von einem Kontrollserver fernsteuern, dieser kann nicht nur zusätzliche Einstellungen sondern auch Java-Code übertragen.

Zielsetzung

Das Ziel der Angreifer umreißt Lookout recht schnöde mit "Geld machen": Offenbar sollten die Apps dazu genutzt werden, um andere Apps nachzuinstallieren. Vor allem in China hat sich ein Schwarzmarkt entwickelt, auf dem garantierte App-Installationen für gutes Geld verkauft werden. Darüberhinaus bediente sich die Malware aber noch eines anderen Tricks, um die eigene Popularität zu steigern: Wurden doch heimlich im Namen der Nutzer 5-Stern-Bewertungen für all die infizierten Apps vorgenommen.

Entdeckung

Aufgeflogen ist die Angelegenheit als eine der betroffenen Apps, das Spiel Cake Tower, am 23. Dezember ein Update erhalten hat, über das die Schadfunktionen nachgereicht wurden. Lookout hat infolge Google informiert, das wiederum zügig die Apps aus dem Play Store entfernt hat, wie der Sicherheitsdienstleister betont. Eine Liste aller infizierten Apps veröffentlicht Lookout im zugehörigen Blogeintrag.

Entfernung

Bei den meisten betroffenen Geräten, dürfte die Angelegenheit mit der Entfernung der jeweiligen Apps erledigt sein. Schwieriger sieht es wie erwähnt bei gerooteten Geräten aus, bei wie vielen Devices sich die Malware dauerhaft verankern konnte, ist allerdings unklar. Da die Schadsoftware keine eigenen Rooting-Funktionen aufwies, dürfte deren Zahl aber vergleichsweise gering sein. Zumal manche betroffene Nutzer wohl auch bei der Abfrage nach Root-Rechten stutzig geworden sein dürften. (Andreas Proschofsky, 10.1.2016)

  • Mit laufenden Sicherheitschecks will Google Malware aus dem Play Store fernhalten – nicht immer gelingt dies aber.
    foto: jeff chiu / ap

    Mit laufenden Sicherheitschecks will Google Malware aus dem Play Store fernhalten – nicht immer gelingt dies aber.

Share if you care.