Fraunhofer patentiert Erkennung von Schläfer-Apps

Mit Hilfe neuer Erkennungsmethoden sollen die bei Google Play aufgetauchten Schläfer-Apps frühzeitig erkannt werden, sodass derartige Anwendungen erst gar nicht im App Store angeboten werden.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Android

(Bild: dpa, Andrea Warnecke)

Lesezeit: 1 Min.

Das Tool Harvester deckt zeitverzögerte Angriffe oder Spionage-Aktivitäten von Apps auf. Sogenannte Schläfer-Apps tarnen sich etwa als Videospiel bei Google Play und die Adware-Komponente kann bis zu 30 Tage auf der Lauer liegen, bevor der Nutzer mit Werbung genervt wird.

Der schlummernde Schadcode wird mit bisherigen Methoden oft nicht entdeckt, da dieser sich quasi versteckt und mit Abwehrmachnismen gerüstet ist. Laut den Forschern setzt Harvester bei der Laufzeitanalyse von Apps dementsprechend auf einen neuen Ansatz, bei dem eine speziell modifizierte Anwendung untersucht wird. In einem Beispiel entfernen sie etwa den Codeteil einer App, der den Schadcode umgeht, wenn diese in einem Emulator läuft. Bei der von den Verschleierungstaktiken bereinigten Version springt die Malware-Erkennung dann auch im Emulator umgehend an.

Die Methode hat sich eigenen Angaben zufolge an über 13.500 Malware-Beispielen bewiesen. Dabei soll der Analysevorgang im Schnitt weniger als eine Minute dauern und vollkommen automatisch ablaufen. Auch eine Aufwertung von Tools wie FlowDroid und TaintDroid sei vorstellbar.

Die Technik ist besonders interessant für App-Store-Betreiber und Hersteller von Antiviren-Software. In ihrem Blog haben die Sicherheitsforscher eine Patentanmeldung für Harvester verkündet. Gleichzeitig soll es aber auch als Open-Source-Projekt angelegt sein. Der Chefentwickler Professor Eric Bodden erklärte auf Nachfrage von heise Security, dass bisher nicht klar sei, wie dieser Spagat bewerkstelligt werden kann. (des)