Android-Malware Skinner versucht sich an personalisierter Werbung

Sicherheitsforscher sind in Google Play auf einen Trojaner gestoßen, der sich effektiver als bisher analysierte Android-Schädlinge tarnt. Zudem will Skinner seine Erfolgsquote durch maßgeschneiderte Werbeeinblendungen steigern.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
Android

(Bild: dpa, Britta Pedersen/Archiv)

Lesezeit: 2 Min.

Der Android-Trojaner Skinner soll sich über zwei Monate in Google Play versteckt haben. In diesem Zeitraum haben sich mehr als 10.000 Opfer den als Gaming-App getarnten Schädling heruntergeladen, erläutern Sicherheitsforscher von Checkpoint. Mittlerweile hat Google den Trojaner aus seinem App Store entfernt.

Dass sich Malware an Googles Sicherheitsmechanismen vorbei in den Store schleicht, ist nichts Neues. Zuletzt hat heise Security das bei dem Schädling CallJam beobachtet und den Schädling eingehend analysiert. Doch Skinner geht in der Summe effektiver vor und präsentiert sich als neue Evolutionsstufe von Android-Schädlingen.

Laut Checkpoint macht Skinner Sicherheitsforschern in vielen Situationen effektiv einen Strich durch die Rechnung und entzieht sich einer Analyse. So soll der Schädling etwa erkennen, ob er in einem Emulator läuft oder ob es ein Debugger auf ihn abgesehen hat. Zudem prüft er den Sicherheitsforschern zufolge, ob ein Opfer Apps auf einem infizierten Gerät startet, um sich weiter abzusichern, dass er auf einem realen Android-Gerät und nicht in einer VM läuft.

Das ist im Einzelnen nicht neu, erinnert in der Kombination jedoch an das Tarn-Verhalten von Desktop-Malware. Offensichtlich haben die Entwickler von Mobil-Schädlingen dazugelernt. CallJam ließ sich zum Beispiel problemlos in einer virtuellen Umgebung analysieren.

Erst wenn sich Skinner sicher ist, dass er nicht unter Beobachtung steht, beginnt er sein Schadenswerk und blendet Werbung ein. Klickt ein Opfer darauf, verdienen die Drahtzieher hinter dem Trojaner Geld – dieses Konzept ist altbekannt. Doch auch an dieser Stelle beschreitet Skinner neue Wege, um so wenig Verdacht wie möglich zu erregen und zugleich seine Erfolgsquote zu steigern.

Checkpoint zufolge schüttet Skinner seine Opfer nicht mit Werbung zu, sondern blendet diese gezielt und vor allem bis zu einem gewissen Grad personalisiert ein. Dafür soll der Schädling prüfen, welche App momentan läuft und dazu passend Werbung einblenden. So könnte etwa bei der Nutzung einer Telefonie-App Werbung für ein aktuelles Smartphone auftauchen. Die Sicherheitsforscher haben beobachtet, dass Skinner Apps in die vier Kategorien Browser, Dienstprogramme, Navigation und Telefonie einteilt. (des)