Android-Malware aktiviert sich bei eingehenden Anrufen
Google musste erneut zahlreiche Apps aus seinem Market entfernen. Die Apps sind mit einer neuen Variante von DroidDream infiziert, die durch eingehende Anrufe und SMS gestartet wird. Bis zu 120.000 Nutzer sollen sich bereits infiziert haben.
- Ronald Eikenberg
Google hat 34 mit Schadcode infizierte Android-Apps aus seinem Market entfernt, wie Lookout Security berichtet. Die Zahl der möglichen Opfer schätzt Lookout auf 30.000 bis 120.000. Bei der Malware handelt es sich in einigen Fällen um Modifikationen bereits seit längerer Zeit im Market verfügbarer Apps. Die Kriminellen haben sie ohne Wissen der App-Entwickler mit Schadcode garniert und ein weiteres Mal in den Market eingestellt. Die Apps sind mit Droid Dream Light (DDLight) infiziert, einer Variante des Schädlings DroidDream, der sich im März dieses Jahres in über 50 Apps eingenistet hatte.
Anders als bei dem vorherigen Befall ist der Schädling nun nicht mehr darauf angewiesen, dass der Nutzer die infizierte App startet. DDLight trägt sich als sogenannter BroadcastReceiver für eingehende Anrufe ein, wodurch der Schadcode beim nächsten eingehenden Anruf ausgeführt wird. Laut einer Analyse von F-Secure reagiert der Schädling auch auf eingehende SMS. Anschließend übermittelt die Malware Geräteinformationen (Modell, IMEI, IMSI und SDK-Version) sowie Informationen über installierte Apps an die Kriminellen. Laut Lookout kann DDLight auch Code auf dem Gerät nachinstallieren, jedoch nicht ohne ein Eingreifen des Opfers.
(Bild: F-Secure)
Die Palette der infizierten Apps reicht von Systemtools bis hin zu Programmen, die Fotos von leicht bekleideten Mädchen versprechen. Eine Liste hat Lookout in seinem Blog veröffentlicht. Für ihre Malware-Uploads nutzten die Kriminellen nach derzeitigem Stand die Entwickler-Accounts Magic Photo Studio, Mango Studio, E.T. Tean, BeeGo, DroidPlus und GluMobi.
Unklar ist, ob man den Schädling durch die Deinstallation der App vollständig vom Gerät entfernen kann. Auch ob Google die Apps von infizierten Geräten mit der Remote-Remove-Funktion aus der Ferne gelöscht hat, ist nicht bekannt. Eine Anfrage an Google, wie das Unternehmen die Android-Nutzer künftig vor Malware aus dem Market schützen will, ist bislang noch offen. Um DroidDream von den Smartphones der Opfer zu entfernen, installierte Google im März ungefragt das "Android Market Security Tool March 2011" auf den Geräten, das zunächst mit Root-Rechten den Schädling löschte und anschließend sich selbst.
Ein weiterer Android-Schädling treibt vor allem in China sein Unwesen, wie F-Secure berichtet. Die Kriminellen preisen ihn in einer vermeintlich vom Netzbetreiber stammenden SMS als Update für eine Sicherheitslücke an. Öffnet der Empfänger den Link in der Nachricht, wird der Trojaner AdSMS auf dem System installiert. Die Malware installiert unter anderem Software nach und kann SMS sowohl empfangen als auch senden – möglicherweise um weitere Befehle zum empfangen oder sich weiter zu verbreiten. (rei)
