Android-Virenscanner sind leicht auszutricksen
Forscher haben versucht, bekannte Android-Schädlinge an zehn Virenschutzprogramme vorbei zu schleusen – und hatten damit zehn Mal Erfolg. Oft genügten minimale Veränderungen an der Malware.
- Ronald Eikenberg
Virenschutzprogramme für Android lassen sich zumeist mit trivialen Mitteln austricksen, wie Forscher von der Northwestern University und der North Carolina State University herausgefunden haben (PDF-Datei). Die Wissenschaftler haben ein Tool namens DroidChameleon entwickelt, das bekannte Malware-Apps auf vielfältige Weisen modifizieren kann, um sie der Erkennung zu entziehen
Das Gros der zehn untersuchten Scanner setzte vor allem auf die signaturbasierte Analyse. In einigen Fällen reichte es deshalb bereits aus, den Paketnamen in den Metadaten zu ändern, damit der Virenscanner einen Schädling für harmlos hielten. Auch durch Entpacken und anschließendes erneutes Erstellen der Installationspakete ließ sich so mancher Scanner aus dem Tritt bringen. In anderen Fällen hatten die Forschern durch das Verschlüsseln von Teilen der App oder das Umleiten von Funktionsaufrufen Erfolg.
Das Fazit ist eindeutig: Alle zehn untersuchten Virenschutzprogramme ließen sich auf die ein oder andere Weise austricksen. Viele der eingesetzten Methoden sind bei Windows-Malware längst üblich und einzelne wurden sogar schon zur Verbreitung von Android-Malware genutzt. Das Testfeld setzt sich aus Virenschutzprogrammen von AVG, Dr. Web, ESET, ESTSoft, Kaspersky, Lookout, Symantec, Trend Micro, Webroot und Zoner zusammen.
Immerhin wissen die Forscher auch etwas Positives zu berichten: Im Testzeitraum von Februar 2012 bis Februar 2013 haben sich die Testkandidaten stetig verbessert. Sind den Programmen anfangs insgesamt noch 43 Prozent der trivial modifizierten Malware durch die Lappen gegangen, waren es ein Jahr später nur noch 16 Prozent. Das macht Hoffnung.
Gut beraten ist einmal mehr, wer die Installation von Apps aus nicht vertrauenswürdigen Quellen, das sogenannte Sideloading, erst gar nicht einschaltet. Die meisten Schädlinge kreuchen und fleuchen abseits des offiziellen Downloadkatalogs Google Play – nämlich in Tauschbörsen, Foren und alternativen App-Portalen. Da Google die Apps vor der Aufnahme in seinen Shop zumindest oberflächlich prüft und sie bei Beschwerden recht schnell entfernt, segelt man hier derzeit noch in relativ ruhigen Gewässern. (rei)
