Von VW lernen:

Entwickler von Android-Malware haben einen ziemlich cleveren Trick gefunden, mit dem sie es an den Kontroll-Systemen des Play Store-Teams vorbei schafften: Der Schadcode hielt sich einfach so lange versteckt, bis die von den Bewegungssensoren eines Smartphones gelieferten Informationen zeigten, dass man wirklich auf echten Geräten angekommen ist.

Das grundsätzliche Prinzip kennt man schon aus dem noch immer anhaltenden Diesel-Skandal. Hier verhielten sich die Systeme schlicht unauffällig, solange klar war, dass sich die Fahrzeuge in einer standardisierten Testumgebung aufhielten. Der Schadstoffausstoß ging erst nach oben, als das Auto im normalen Straßenverkehr unterwegs war. Das Konzept brachte offenbar die Entwickler von Android-Malware auf die Idee, es ganz ähnlich zu versuchen.

Denn wenn die zahlreichen Apps, die in den Play Store aufgenommen werden sollen, die Tests bei Google durchlaufen, werden sie ebenfalls in einer simulierten Umgebung gestartet und verschiedene Routinen suchen nach Verhaltensweisen, die auf eine integrierte Malware hindeuten könnte. Daher blieb der eingebaute Schadcode nun so lange inaktiv, bis die Daten, die von den Bewegungssensoren einliefen, aussagten, dass sich die App tatsächlich auf einem Smartphone befindet, das vom User herumgetragen wird.

Banking-Trojaner unter der Tarnkappe
Die Sicherheitsforscher bei Trend Micro haben bereits zwei Apps gefunden, bei denen dieses Verfahren zum Einsatz kommt. Es handelt sich hier um Anwendungen zur Optimierung der Akkulaufzeit und zum Umrechnen von Währungen, wie es es sie in großer Zahl im Play Store gibt. Die beiden Programme sind durch die Sicherheitsmechanismen hindurchgekommen und aktivierten erst auf echten Endgeräten ihre Payloads - die in diesem Fall auf dem Banking-Trojaner Anubis basierten.

Die Entwickler der beiden Apps haben auch darüber hinaus versucht unauffällig zu bleiben. So suchte die Malware auf dem Gerät nach aktiv genutzten Twitter- und Telegram-Clients, um über diese Dienste dann mit der Kommandoserver-Infrastruktur zu kommunizieren. Die beiden Apps wurden inzwischen aus dem Play Store entfernt und es ist davon auszugehen, dass die Testsysteme zusätzlich auf den neuen Trick eingestellt wurden. Ob das nun aber in jedem Fall funktioniert, bleibt abzuwarten.

Ein Beitrag von WinFuture