1913602

Spionage-Tool in Google Play entdeckt

10.03.2014 | 16:57 Uhr |

Ein Antivirushersteller hat kürzlich in Google Play ein Trojanisches Pferd entdeckt, das Teil eines Malware-Baukastensystems ist. Der Schädling Dendroid kann zur Fernsteuerung infizierter Android-Geräte benutzt werden und wird im Untergrund kommerziell vertrieben.

Wenn so genannte Remote Access Tools (RAT) in einem offiziellen App Store wie Google Play entdeckt werden, läuten die Alarmglocken. Der Antivirushersteller Lookout meldet in seinem Blog , dass in der letzten Woche eine App in Google Play entdeckt worden ist, die ein RAT namens "Dendroid" enthält. Dabei handelt es sich aus Sicht der Online-Kriminalität um eine ganze Systemlösung. Sie erinnert an Malware-Baukästen russischer Provenienz, wie sie in den USA eher selten auftauchen.

Dendroid wird auf Untergrundmarktplätzen für 300 US-Dollar angeboten. Nach Lookout-Angaben haben die Entwickler des Schädlings besonderen Wert darauf gelegt, die Sicherheitsprüfung in Google Play zu bestehen. Die schädliche Komponente enthält Code, der Googles Malware-Scanner "Bouncer" austricksen kann. So genannte Anti-Emulationstechniken sorgen dafür, dass der Schädling in einem Emulator, wie ihn Google bei Bouncer verwendet, die Füße still hält, um sich nicht verdächtig zu machen.

Anders als typische Malware-Baukästen ist Dendroid eine Komplettlösung. Während andere Tool-Kits oft nur einzelne Komponenten bieten, die Malware-Schreiber in ihre Apps integrieren können, kommt Dendroid mit einer schlüsselfertigen Kontrollinfrastruktur für ein Bot-Netz. Die kriminelle Kundschaft erhält eine Reihe ausgefeilter Spyware-Funktionen und das Versprechen einer "lebenslangen Garantie". Die Bezahlung erfolgt in der Regel mit neueren Kryptowährungen wie Bitcoin oder Litecoin, im Einzelfall auch per Paypal.

Zu den Funktionen, die Dendroid bietet, gehört das Abfangen eingehender SMS ebenso wie der Versand eigener SMS-Nachrichten im Namen des Geräteeigners. Dendroid kann Fotos, Videos und Audioaufzeichnungen auf dem Gerät anfertigen, um den Benutzer auszuspionieren. Es kann die Browser-Chronik und gespeicherte Lesezeichen übertragen sowie die Anmeldedaten für Mail-Konten, soziale Netzwerke und VPN-Verbindungen. Es kann auch Dialogboxen öffnen, um den Benutzer zur Passworteingabe aufzufordern.

Außerdem ist ein universeller Binder enthalten, der verschiedene Komponenten zu einem Installationspaket zusammenfasst. So können die Dendroid-Kunden mit wenig eigenem Aufwand eine beliebige existierende App nehmen und sie mit Dendroid trojanisieren.

Die einzige bislang in Google Play entdeckte App, die Dendroid enthält, hat Google inzwischen aus dem Play Store entfernt. Welche App das ist, sagt Lookout nicht. Das Entwicklerkonto des Anbieters dieser App ist demnach jedoch noch nicht gesperrt.

0 Kommentare zu diesem Artikel
1913602