Android-Trojaner auf Amazon.de

Inhaltsverzeichnis

Der App-Shop von Amazon.de wurde offenbar zur Verbreitung eines Android-Trojaners missbraucht, der seine Opfer ausspioniert. Die Spionage-Software kam Huckepack mit einer Gratis-App namens "Gutscheine.de". Sie ist unter anderem dazu in der Lage, Kamera und Mikrofon anzuzapfen, den genauen Aufenthaltsort über GPS abzufragen und SMS-Nachrichten mitzulesen.

App installiert Trojaner nach

heise Security hat am gestrigen Donnerstag nach einem Leserhinweis die Gratis-App "Gutscheine.de" aus Amazons App-Sortiment installiert. Nach dem Aufrufen startete ohne weiteres Zutun die Installation einer weiteren App namens "com.android.engine", die sich umfassende Zugriffsrechte auf unser Smartphone einräumen wollte.

Es gelang uns, die Installations-Datei (APK) der Anwendung zu analysieren. Dabei zeigte sich, dass sich das Programm unter anderem in den Systemstart einklinkt und auf eingehende SMS-Nachrichten wartet. Es versucht einen Server auf einem ungewöhnlichen Port zu kontaktieren – dabei handelt es sich vermutlich um einen Command-and-Control-Server (C&C), von dem sich der Schädling erste Instruktionen abholen möchte.

Bild 1 von 5

Android-Trojaner bei Amazon.de (5 Bilder)

Smartphone als Wanze

Mit den eingeräumten Rechten kann der Trojaner das Smartphone in eine Wanze verwandeln. Er kann unter anderem auf folgende Ressourcen zugreifen: Kamera, Mikrofon, GPS-Koordinaten, Speicherkarte, SMS, Adressbuch und Anrufliste. Ferner kann die Schad-App selbstständig SMS versenden, telefonieren und Daten ins Internet schicken. Es handelt sich bei der Android-Malware vermutlich um die funktionsreiche Spionage-Software OmniRat-A. Einige Virenscanner halten unseren Fund für den Banking-Trojaner Zitmo.E, was aufgrund der eingeräumten Rechte und des Verbreitungswegs jedoch eher unwahrscheinlich ist.

Gefälschte Gutschein-App

Aktuell spricht vieles dafür, dass es sich bei der App "Gutscheine.de" nicht um eine offizielle App der gleichnamigen Gutschein-Seite handelt. Auf der Seite findet man keinen Hinweis auf die Existenz einer Android-App. Die App hatte im Amazon-Shop noch keine Bewertungen, ferner ist der angegebene App-Entwickler "Kuhlo Gbr" im Netz offenbar ein unbeschriebenes Blatt. Möglicherweise hat der Täter, der den Schädling über Amazon verteilt hat, lediglich den Ruf der Seite missbraucht.

Die App zeigt lediglich die Mobilversion von Gutscheine.de an – ehe sie den Trojaner installiert. Unklar ist , wie viele Nutzer die bösartige Anwendung installiert haben und ob weitere Apps aus dem Angebot von Amazon betroffen waren oder sind. Wir haben Amazon ebenfalls um eine Stellungnahme gebeten.

Trojaner erkennen und löschen

Dass das eigene Smartphone infiziert ist, erkennt man daran, dass sich in den Android-Einstellungen unter Apps ein Eintrag namens "com.android.engine" befindet. Dabei handelt es sich den Trojaner, den man umgehend deinstallieren sollte. Um einer Neuinfektion zu entgehen, sollte man auch die App entfernen, die den Schädling aufs Gerät geschleust hat – in diesem Fall "Gutscheine.de". Nach derzeitigem Kenntnisstand ist das Android-System anschließend wieder sauber.

Update vom 4. März, 10 Uhr: Gutscheine.de erklärte gegenüber heise Security, dass die bei Amazon angebotene App eine Fälschung ist, die nichts mit dem Gutschein-Portal zu tun hat. Die Täter haben also das Logo und den Namen der Seite missbraucht, um einen Trojaner-Downloader in den App Shop zu schleusen.

Zur Absicherung von Android siehe auch:

• "Android, aber sicher!, Security-Checkliste Android" aus c't 1/16, Seite 72

(rei)