ESET: Android-Backdoor lauert auch in seriösen Apps

MobileMobile OSSicherheitSicherheitsmanagement
ESET Mobile Security

Selbst bei ganz offiziell in Google Play eingespielten Programmen taucht hin und wieder Malware auf, warnt ESET. Dennoch verweist der Sicherheitsspezalist auf den echten App-Store des Suchmaschinen-Giganten, denn dessen Kontrollen seien viel besser als bei alternativen Shops.

Security-Spezialist ESET wiederholt eindringlich seine Warnung vor alternativen Android-App-Stores; in diesen fänden sich oft als “gecrackte” Versionen getarnte infizierte Programme, die Hintertürchen für den Zugriff von Hackern ließen. Ein so genanntes RAT (“Remote Access Tool“), das sich als verschiedene, sichere Android-Applikationen ausgibt, wird bei Google meist vonm “Google Bouncer” erkannt und abgewiesen.

Infizierter Spaces.ru-Account
Das soziale Netz spaces.ru wurde genutzt, um die Android-Malware Spy.Krysanec zu verbreiten. (Bild: ESET)

Der versteckte kleine Zusatz, ein Trojaner, fällt meist nicht auf: Oft erfüllen die vorgeschalteten Programme ihren Zweck; der Huckepack-Schädling richtet seine Datendiebstähle oder Vernichtungsfeldzüge erst später an, wenn er seine externen Kommandos erhält.

Der Backdoor-Trojaner, den ESET als Android/Spy.Krysanec erkennt, wurde etwa in Modifikationen der folgenden Apps gefunden: MobileBank (Mobile Banking-App der russischen Siberbank), 3G Traffic Guard (Monitoring-App für die Datennutzung) sowie einigen anderen, darunter sogar ESETs eigenes Produkt “Mobile Security” – was letztendlich zur neuen Warn-Kampagne führte.

Der Hersteller beschreibt Vorteile des Android-App-Ökosystems, das Maßnahmen gegen solche Änderungen vorsieht, indem die Anwendungen mit dem echten Entwicklerzertifikat digital signiert werden müssn. Die getarnten Krysanec-Varianten hatten keine validen Zertifikate. Quellen der Fäschungen seien zum Beispiel typische Filesharing-Seiten oder ein russisches soziales Netzwerk – ESET fügte an seine Warnmeldung gleich einige Beispiel-Screenshots an; sie zeigen einen Account, der genutzt wurde, um den Trojaner zu hosten.

Die Module des hier verbreiteten RAT geben der Backdoor auf dem Gerät unter anderem Zugriff auf Erstellung von Fotos, Aufnahme einer Audiospur mit dem Mikrofon, GPS-Lokalisierung, Listen aller installierten Anwendungen, aufgerufenen Webseiten und getätigten Anrufen, auf die Kontaktliste und SMS oder WhatsApp-Chats.

Einige der von ESET analysierten Malware-Exemplare, die mit dem Command&Control-Server dahinter verbunden waren, wurden auf einer Domain gehostet, die dem DDNS-Anbieter no-ip.com gehört. No-IP machte vor kurzem Schlagzeilen, als Microsofts Digital Crime Unit 22 der Domains des Unternehmens übernahm. Diese wurden genutzt, um Malware zu verbreiten. Microsoft hat den Fall anschließend allerdings fallengelassen.

ESET empfiehlt natürlich sein eigenes Produkt ESET Mobile Security (ungefäscht) und die Verwendung von Google Play Store. Doch auch bei Google solle man darauf achten, welche Zugriffsrechte eine App später verlangt – das ESET-Produkt gibt entsprechende Warnungen aus.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen