Ungeziefer aufs Handy laden
Von Uli Ries
Nachdem 2010 hauptsächlich IT-Sicherheitsforscher durch diverse Proof-of-Concept-Malware für Android auf sich aufmerksam machten, legen 2011 die wahren Malware-Schreiber nach. Bereits zu Jahresende 2010 tauchte mit Gemini der erste echte Schädling im Netz und auf Smartphones auf.
Ganz im Stil der vom PC bekannten Botnetz–Trojaner verbindet sich auch Gemini nach der Installation mit einem Command-and-Control-Server, um so Kommandos vom Bot-Herder zu empfangen.
Was hat Gemini vor?
Gemini versteckt sich in legitimen Anwendungen, aber auch in geknackten Versionen von ansonsten kostenpflichtiger Software. Auf diese Weise findet der Schädling den Weg auf die Smartphones, in dem er huckepack mit installiert wird. Der Trojaner wandert also in jedem Fall nur durch Zutun des Anwenders auf das Telefon.
Beschrieben wurde Gemini u.a. von IT-Sicherheitsexperten der Firma Lookout, einem Hersteller von Sicherheitssoftware für Android. Auch diesen Fachleuten ist jedoch unklar, worin das eigentliche Ziel von Gemini besteht. Die Erklärungsversuche reichen von einem mobilen Botnet bis hin zu einem gekaperten Werbenetzwerk. Letzteres könnte den Gemini-Machern – oder deren Kunden – dazu dienen, mit ihrem Geschöpf Geld zu verdienen. Außerdem lassen sich auf diesem Weg Links zu manipulierten Webseiten auf dem Display des Geräts anzeigen – ein weiterer Weg, um später neue Varianten der Malware auf das Smartphone zu schleusen.
Verbreitet wird Gemini hauptsächlich über alternative Anwendungsverzeichnisse. Am besten schützt man sich also vor einer Infektion, indem man solche App-Sammlungen meidet und Anwendungen nur aus dem offiziellen App Market bezieht. Soll es doch ein alternatives App-Verzeichnis sein, dann vor der Installation besser das Rating prüfen und vor allem die Bewertungen von anderen Anwendern lesen. Hilfreich ist auch das Unterbinden von Installationen von 3rd-Party-Applikationen. Wichtig: Anwender sollten prüfen, welche Berechtigungen die jeweilige Applikation bei der Installation einfordert!
Fest steht: Der Schädling kann die aktuelle Position des Smartphones auslesen und die GPS-Daten zum C&C-Server schicken. Ebenfalls ausgelesen werden die zum Identifizieren von Endgeräten und SIM-Karten verwendeten IMEI und IMSI und die auf dem infizierten Smartphone installierten Anwendungen.
Um sich selbst mit neuen Funktionen zu erweitern, lädt Gemini verschiedene Applikationen im Hintergrund herunter und fordert den Handy-Nutzer anschließend auf, diese Apps zu installieren. Um eventuell „gefährliche“ Anwendungen wie Antivirensoftware loszuwerden, fordert Gemini außerdem dreist dazu auf, diese Programme zu entfernen.
Trojaner erlauscht Kreditkartennummern
Nicht im App-Store gibt es den „Soundminer“ getauften Trojaner. Denn er ist – einmal mehr – das Resultat einer Forschungsarbeit, in diesem Fall von Experten der Universitäten in Hong Kong und Bloomington (Indiana University, USA). Die Schadsoftware ist nicht im Netz zu finden; die Forscher beschreiben die Malware lediglich in einem Präsentationspapier (als PDF). Außerdem ist auf YouTube ein Video zu finden, mit dem die Programmierer Soundminder demonstrieren.
Die Besonderheit des Android-Demoschädlings: Er analysiert die mit dem infizierten Telefon geführten Gespräche. Seine Spracherkennung reagiert auf Kreditkartennummern, die der Nutzer durchgibt. Die Software reduziert den Sprachstrom durch clevere Analyseverfahren auf die relevanten Informationen (in diesem Fall die Kreditkartendaten) und sendet dann nur diesen kleinen Teil des Gesprächs per Datennetzwerk an seine Schöpfer. Die Forscher betonen, dass sie diese Funktionen unter praxisnahmen Bedingungen erfolgreich getestet haben.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Einmal mehr ist es so, dass das potenzielle Opfer während der Installation der Malware Verdacht schöpfen könnte, wenn die Software um die nötigen Berichtigungen ersucht. Um hier möglichst dezent aufzutreten, verlangt Soundminer – bzw. die legitime App, auf der der Schädling ins System reiten will – lediglich den Zugriff aufs Mikrofon. Das ist z.B. bei Spielen nichts Außergewöhnliches. Verdächtige Anfragen wie Netzwerk- oder Adressbuchzugriff unterbleiben.
Den Versand der mitgeschnittenen Daten erledigt eine zweite Schadkomponente, der „Deliverer“. Er könnte sich als Wetter-App tarnen, die zum Funktionieren unbedingt Netzwerkzugriff benötigt. Da Android prinzipiell den Datenaustausch zwischen zwei Anwendungen unterbinden kann, haben die Malware-Forscher einen Umweg über die Einstellungen für den Vibrationsalarm gewählt, denn solche Änderungen werden an beliebige Applikationen kommuniziert. Soundminer versteckt die Kreditkarteninformationen also in Daten, die den Werten des Vibrationsalarms gleichen. Der Deliverer wandelt die Daten zurück und schickt sie dann zum wartenden Hintermann.
Die Malware-Forscher wollen ihren Schädling nicht veröffentlichen. Daher bleibt die Hoffnung, dass wahre Schadsoftwareautoren mangels Kopiervorlage auch in Zukunft mit weniger Raffinesse ans Werk gehen. Sprachanalyse in Echtzeit auf einer vergleichsweise schwachbrüstigen Hardware ist schließlich eine beachtliche Leistung.
Schwarz auf Weiß
Was Apps fürs Business leisten können, erklärt Oliver Schonschek kompakt und genau im E-Book „Geschäfte mit mobilen Apps“, das es als freies PDF im Pressezentrum des MittelstandsWiki gibt.
Rätselhafte Telefonate
Bereits Mitte 2010 zeigten die beiden IT-Sicherheitsforscher Nicholas Percoco und Christian Papathanasiou das nach ihrer Auskunft erste Rootkit für Android. Sinn und Zweck der Demonstration (als PDF): aufzuzeigen, wie leicht es ist. Die Forscher nannten das Demo-Rootkit „Mindtrick“ und konzipierten es als Loadable Kernel Module (LKM), so dass es sich vor anderen Prozessen verstecken kann.
Installiert würde das Rootkit über eine noch zu findende Schwachstelle in Googles Handy-Betriebssystem. Mindtrick könnte dazu, genau wie die zuvor beschriebenen Schädlinge, in einer vermeintlich legitimen Android-App versteckt werden. Diese müsste zur Installation des versteckten LKM zwar Root-Rechte vom Anwender anfordern, doch sind Nutzer – wie Tests mit der gefälschten Wetter-App MonkeyFist belegten – hierzu nur allzu gerne bereit.
Ist das Rootkit installiert, wird es durch einen eingehenden Anruf des infizierten Handys von einer zuvor festgelegten Nummer aktiviert. Da Mindtrick weit reichende Systemrechte hat (es läuft auf Ebene des Kernels), kann es ein Klingeln bei diesem Anruf genauso unterdrücken wie die Anzeige im Display. Nach dem Aktivieren baut das Rootkit eine Reverse Shell zum Rechner des Angreifers auf, so dass dieser aus der Ferne sämtliche SMS oder auf dem Android-Gerät gespeicherten Kontakte auslesen kann. Da diese Informationen vom System in einer herkömmlichen SQLite-Datenbank abgelegt sind, kann ein Angreifer die Daten leicht per Kommandozeile abfragen.
Auch die aktuellen Koordinaten des Smartphones liest Mindtrick aus. Hierzu muss der Zugriff auf das GPS-Modul zuvor jedoch von einer Anwendung wie Google Maps angefordert und vom Handy-Besitzer bestätigt worden sein. Das wiederum ist leicht machbar, wenn sich das Rootkit in einer Software versteckt, die angeblich Ortungsdienste nutzt.
Schwarz auf Weiß
Was Google Maps fürs Business leisten kann, erklärt Oliver Schonschek kompakt und genau im E-Book „Geschäfte mit Google Maps“, das Sie online im Pressezentrum des MittelstandsWiki bekommen.
Besonders perfide: Der Angreifer kann aus der Ferne auch ausgehende Anrufe starten. Betrüger könnten auf diese Weise z.B. unbemerkt selbst betriebene teure Sextelefondienste anrufen und auf Kosten der Opfer Umsätze generieren.
Fazit: Root-Recht auf alles
Zwar gibt es Antivirensoftware für Android, z.B. von Lookout (Lookout Mobile) oder Symantecs Norton Smartphone Security for Android. Beide Programme entdeckten Mindtrick jedoch nicht.
Teil 1 sagt, warum Mobilgeräte die Zielscheiben der Zukunft sind: Die Anwender sind zu sorglos und die App-Installationen zu hastig. Teil 2 nennt einige besonders perfide Beispiele und testet, was kostenlose Virenscanner nützen: praktisch gar nichts.
Wahrscheinlich wird Schutzsoftware auch in Zukunft einen schweren Stand haben, denn das Rootkit versteckt sich mittels seiner Rechte vor sämtlichen anderen Prozessen. Auch ein Löschen aus der Ferne, wie es Google bereits in der Praxis großflächig angewandt hat, um bösartige Apps nachträglich zu entfernen, nutzt nichts. Denn der Löschvorgang wirkt – höchstwahrscheinlich – nur auf Anwendungsebene des Systems, nicht aber auf Kernel-Ebene.
Den beiden Mindtrick-Machern zufolge ließe sich eine Schadsoftware, die als Loadable Kernel Module daherkommt, sehr leicht blockieren: Die Smartphone-Hersteller müssten das System lediglich anweisen, ausschließlich von ihnen selbst digital signierte Module zu akzeptieren. Als Mindtrick entwickelt wurde, waren solche Checks nicht zu finden.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing