Von VW lernen: Android-Malware bleibt in Test-Umgebung getarnt

Entwickler von Android-Malware haben einen ziemlich cleveren Trick gefunden, mit dem sie es an den Kontroll-Systemen des Play Store-Teams vorbei schafften: Der Schadcode hielt sich einfach so lange versteckt, bis die von den Bewegungssensoren eines Smartphones gelieferten Informationen zeigten, dass man wirklich auf echten Geräten angekommen ist.
Google, Android, Sicherheit, Security, Malware, Virus, Schadsoftware, schloss
Google
Das grundsätzliche Prinzip kennt man schon aus dem noch immer anhaltenden Diesel-Skandal. Hier verhielten sich die Systeme schlicht unauffällig, solange klar war, dass sich die Fahrzeuge in einer standardisierten Testumgebung aufhielten. Der Schadstoffausstoß ging erst nach oben, als das Auto im normalen Straßenverkehr unterwegs war. Das Konzept brachte offenbar die Entwickler von Android-Malware auf die Idee, es ganz ähnlich zu versuchen.

Denn wenn die zahlreichen Apps, die in den Play Store aufgenommen werden sollen, die Tests bei Google durchlaufen, werden sie ebenfalls in einer simulierten Umgebung gestartet und verschiedene Routinen suchen nach Verhaltensweisen, die auf eine integrierte Malware hindeuten könnte. Daher blieb der eingebaute Schadcode nun so lange inaktiv, bis die Daten, die von den Bewegungssensoren einliefen, aussagten, dass sich die App tatsächlich auf einem Smartphone befindet, das vom User herumgetragen wird.

Banking-Trojaner unter der Tarnkappe

Die Sicherheitsforscher bei Trend Micro haben bereits zwei Apps gefunden, bei denen dieses Verfahren zum Einsatz kommt. Es handelt sich hier um Anwendungen zur Optimierung der Akkulaufzeit und zum Umrechnen von Währungen, wie es es sie in großer Zahl im Play Store gibt. Die beiden Programme sind durch die Sicherheitsmechanismen hindurchgekommen und aktivierten erst auf echten Endgeräten ihre Payloads - die in diesem Fall auf dem Banking-Trojaner Anubis basierten.

Die Entwickler der beiden Apps haben auch darüber hinaus versucht unauffällig zu bleiben. So suchte die Malware auf dem Gerät nach aktiv genutzten Twitter- und Telegram-Clients, um über diese Dienste dann mit der Kommandoserver-Infrastruktur zu kommunizieren. Die beiden Apps wurden inzwischen aus dem Play Store entfernt und es ist davon auszugehen, dass die Testsysteme zusätzlich auf den neuen Trick eingestellt wurden. Ob das nun aber in jedem Fall funktioniert, bleibt abzuwarten.

Siehe auch: Android-Malware im Store gesperrt? - Neuer Name genügt für Reupload
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!