Malware-Tricks: Nur wenn's rüttelt ist es echt
Android-Trojaner lesen Bewegungsdaten aus, um virtuelle Testsysteme zu erkennen und sich tot zu stellen.
Forscher von Trend Micro haben zwei bösartige Android-Apps entdeckt, die einen Online-Banking-Trojaner namens Anubis auf dem Smartphone installieren. Zuvor analysieren sie jedoch die Bewegungsdaten des Geräts. Dahinter steht die Annahme, dass sich echte Smartphone-Nutzer gelegentlich bewegen, aber die Testsysteme von Virenforschern häufig in Virtuellen Maschinen laufen, die gar keine Bewegungssensoren haben. In solchen Fällen stellten sich die Trojaner-Apps tot, um einer Entdeckung zu entgehen.
Die beiden verantwortlichen Apps Currency Converter und BatterySaverMobi waren im Google Playstore erhältlich und hatten dort sogar hervorragende Bewertungen. Nach der Benachrichtigung durch Trend Micro hat sie Google jedoch entfernt, erklärt der AV-Hersteller in seinem Blog-Beitrag zur Anubis-Malware.
Rüttel dich
Dass Android-Trojaner Bewegungsdaten nutzen, ist nicht ganz neu: Bereits vor einiger Zeit berichtete ein Sicherheitsforscher in einem Gespräch mit heise Security von einem ähnlichen Anti-VM-Trick. Die von ihm analysierte Malware löste einen Alarm aus, bei dem das Handy vibrieren sollte. Die Bewegungssensoren moderner Smartphones sind empfindlich genug, um dieses Rütteln zu detektieren. Bleibt jedoch alles ruhig, hat entweder der Anwender die Vibration komplett abgeschaltet oder es handelt sich um ein virtuelles System ohne Rüttelmechanik oder Sensorik. In beiden Fällen ging die Malware vorsichtshalber auf Tauchstation. (ju)
