Googles Android-Malware-Scanner Bouncer gepwned

Jon Oberheide und Charlie Miller ist es offenbar gelungen, Googles Bouncer zu kapern, der Android-Apps auf mögliche Schadfunktionen untersuchen soll. In einem Vortrag Ende der Woche wollen sie dann auch offenlegen, wie sie Software mit Schadfunktionen an Googles Tests vorbei in den Market Google Play geschmuggelt haben.

Bereits seit 2011 durchforstet Google den hauseigenen App-Store nach möglicherweise schädlichen Programmen. Dazu werden die Apps in einer virtuellen Umgebung ausgeführt und beobachtet. Das jetzt vorab veröffentlichte Video zeigt, wie eine App während sie in der virtuellen Bouncer-Umgebung läuft, eine Verbindung nach Hause öffnet und den beiden Forschern dort eine Linux-Kommandozeilen-Shell bereitstellt. Innerhalb dieser Virtuellen Maschine können sie sich dann frei bewegen und sehen unter anderem, dass es sich um eine Qemu-Instanz handelt. Ein Trojaner könnte dies ebenfalls feststellen – etwa an der Existenz des Verzeichnisses /sys/qemu_trace – und sich daraufhin nur noch von seiner guten Seite zeigen.

Das Ganze ist als Werbung für ihren Vortrag gegen Ende der Woche auf der Summercon in New York gedacht. Die Experten wollen zeigen, wie Betrüger Schadsoftware in Google Play unterbringen können, ohne eine Entdeckung durch Googles Bouncer fürchten zu müssen. Dass sich eine automatisierte Überprüfung von Apps in Virtuellen Maschinen umgehen lässt, ist allerdings keine echte Überraschung. Windows-Trojaner suchen häufig gezielt nach Anzeichen für VMware oder andere Virtualisierungtechniken und stellen sich dann tot, um eine Analyse zu erschweren. Außerdem stellten die Hersteller von Antirviren-Software erst kürzlich fest, dass sie bereits seit Jahren Exemplare des Superspions Flame in ihren Software-Pools hatten, ihre Testprogramme darauf jedoch nicht angesprungen waren. (ju)