So fliegt die Tarnung auf

Google Play Store: So erkennt ihr Android Malware

Foto von Olivia von Westernhagen

von Olivia von Westernhagen -

Seit einigen Monaten häufen sich alarmierende Schlagzeilen über Malware-Funde im Google Play Store. Sie durchbrechen die trügerische Sicherheit, die diese Download-Quelle bisher vermittelte. Zugleich werfen sie viele Fragen auf: Wie gelingt es kriminellen Entwicklern, Schadcode im Store zu platzieren und Nutzer zum Download zu bewegen? Und was kann man tun, um sich zu schützen?

Schon gewusst?

Ein Emulator erschafft eine Nachbildung eines bestehenden Systems, das genau wie das Original reagiert. Auf diese Art kann die Ausführung von Programmen simuliert werden.

Seit Anfang 2011 ist ein mehrstufiges Malware-Präventionssystem mit dem Codenamen 'Bouncer' fester Bestandteil des Play Store. 'Bouncer' besteht aus einem Anti-Viren-Modul zum Scannen neu hochgeladener Anwendungen, einer vergleichenden Analyse zum Aufspüren verdächtiger Verhaltensmuster sowie einer Emulator-Komponente zum Testen des App-Verhaltens. Zusätzlich werden neu freigeschaltete Entwickler-Accounts besonders aufmerksam beobachtet, um sie im Falle eines Malware-Funds zeitnah sperren zu können. Glaubt man Googles Statistiken, so leistete 'Bouncer' damals gute Arbeit: Die Anzahl schädlicher Downloads schrumpfte bis zum zweiten Halbjahr von 2011 um etwa 40 Prozent.

Eine ganz andere Sprache sprechen Zahlen, die 2014 veröffentlicht wurden: Eine Studie des IT-Sicherheitsunternehmens RiskIQ kam zu dem Schluss, dass sich die Zahl schädlicher Apps im Play Store seit 2011 vervierfacht hatte. Dieser sich bis heute fortsetzende Trend zeigt, dass Malware-Entwickler sehr schnell gelernt haben, Bouncers Sicherheitsmechanismen auszutricksen. Das seit Jahren kontinuierlich steigende App-Angebot im Store dürfte die zeitnahe Reaktion auf immer neue Täuschungsstrategien zusätzlich erschweren.

Am Wächter vorbeischleichen: Anti-Bouncer-Strategien

In the first half of 2014, just over 10 percent of new apps were malicious. In the first half of 2016, that has risen to almost 45 percent (...).

Webroot

Erste Schwachstellen von Bouncer wurden bereits Mitte 2012 von zwei Sicherheitsexperten aufgedeckt. Indem sie eine präparierte App in den Play Store einstellten, gelang es ihnen, Bouncers Funktionsweise zu analysieren. Auf dieser Strategie basieren mit großer Wahrscheinlichkeit viele der 'Anti-Bouncer-Tricks', die in den letzten Jahren Verwendung fanden.

Dazu zählen unter anderem folgende Taktiken:

  • Zeitverzögerungen: Indem sie in den Programmcode Timer eingebaut werden, die die Ausführung der Schadfunktionen um mehrere Stunden oder gar Tage verzögern, lässt sich Bouncers Emulations-Strategie umgehen.

  • Umgebungsabhängiges App-Verhalten: Einige Apps, die in der Lage sind, die Emulation durch Bouncer zu erkennen, passen ihr Verhalten beziehungsweise den Programmablauf entsprechend an. So können unter anderem lästige Werbeanzeigen auf dem Smartphone erscheinen, während sie innerhalb von Bouncer nicht eingeblendet werden.

  • Nutzung einer Web-Oberfläche: In den Programmcode von Android-Apps kann ein so genannter 'Web View' eingebaut werden, um Websites anzuzeigen. Dabei ist es auch möglich, mit JavaScript-Code zu interagieren, der sich auf der Website befindet. Von der Weiterleitung auf Werbeseiten bis hin zum Aufruf von Schadfunktionen aus der Ferne ergeben sich daraus viele Möglichkeiten für Malware-Entwickler.

  • Missbrauch vertrauenswürdiger Entwickler-Accounts: Durch die Verwendung fremder bestehender Accounts ergibt sich für Angreifer der Vorteil, dass die mit der Neuregistrierung verbundene, strengere Überwachung entfällt. Zudem können sie ihre schädlichen Anwendungen unauffällig zwischen beliebten, legitimen Apps platzieren.

  • Code-Verschleierung: So genannte Code-Verschleierung oder 'Obfuskierung' bewirkt, dass die Funktionalität des Codes durch einen menschlichen Betrachter schwerer nachvollziehbar ist. So werden beispielsweise Variablen-Namen durch zufällige Buchstabenkombinationen ersetzt. Dies erschwert zusätzlich auch die automatisierte Suche nach Textstrings oder verdächtigen Codepassagen.

Die Tarnungs-Strategien der Malware-Apps

Um im Anschluss an die erfolgreiche Umgehung der Sicherheitsmechanismen Aufmerksamkeit bei potenziellen Opfern zu erregen, nutzen Angreifer häufig beliebte 'Trend-Apps' als Aufhänger. Ein Beispiel für diese Strategie sind die mit Malware verseuchten Pokémon-Go-Apps, die bereits vor dem offiziellen Release des Spiels die Stores überfluteten. Ebenfalls beliebt ist die Tarnung als 'Hilfs-App' – so geschehen bei zahlreichen Pokémon Go Trainern oder bei der Malware 'CallJam', die im September bei Google Play auftauchte und vorgab, Edelsteine für das beliebte Spiel 'Clash Royale' zu generieren.

Grundsätzlich können zwei Arten von Tarnungen unterschieden werden:

  • Der Schadcode wird in einer legitimen App versteckt, die unter einem leicht abweichenden Namen anschließend erneut in den Store hochgeladen wird. Diese Strategie wählten die Entwickler der Malware 'Dresscode', die vor einigen Tagen in mehr als 400 Apps im Play Store entdeckt wurde.

  • Die schädliche App erweckt nur den Anschein, als beinhalte sie die behaupteten Funktionen. Dies kann beispielsweise durch das Anzeigen einer Oberfläche mit Buttons und Eingabefeldern geschehen, die schlicht nicht funktionieren, sodass der Nutzer von einem Fehler ausgeht. Zu den Täuschungsmanövern solcher Apps kann gehören, unter falschen Versprechungen zu einer positiven Bewertung im Store aufzurufen. Solche Bewertungen regen weitere Nutzer zum Download der App an und mindern das Misstrauen angesichts der einen oder anderen Negativ-Bewertung.

Kontrolle ist besser: Schutzmaßnahmen ergreifen

Angesichts der erfolgreichen Strategien, die Malware nutzt, um in den Play Store zu gelangen, ist es ratsam, nicht nur auf Googles Bouncer-System oder (möglicherweise gefälschte) Nutzer-Bewertungen zu vertrauen. Mit gesundem Misstrauen und Aufmerksamkeit können viele Malware-Infektionen verhindert werden.

Hilfreich sind dabei die folgenden Tipps:

  • Angeforderte Berechtigungen: Die meisten Malware-Apps vertrauen nicht auf das Ausnutzen von Sicherheitslücken, um Rechte zu erlangen, sondern können ihre Schadfunktionen nur mit Genehmigung des Nutzers ausführen. Dementsprechend sollte bei der Erteilung von Zugriffsberechtigungen ganz genau hingeschaut werden. Fordert eine App beispielsweise Zugriff aufs Internet, das Adressbuch oder die Kamera, ohne dass es dafür einen plausiblen Grund gibt, sollte die Installation im Zweifel abgebrochen werden.

  • App-Namen und Entwickler-Account: App-Namen sollten auf (gewollte) Rechtschreibfehler überprüft werden: Handelt es sich wirklich um die gewünschte App oder vielleicht um eine manipulierte Variante? Eine schnelle Recherche nach dem Namen des Entwicklers kann Aufschluss über Seriosität bzw. gehackte Accounts geben.

Schon gewusst?

Dank des so genannten Sandbox-Prinzips werden Android-Apps isoliert voneinander ausgeführt und haben standardmäßig keinen Zugriff auf Daten und Code anderer Apps. Klassische Viren-Infektionen sind deshalb nicht möglich.

  • Sandbox-Prinzip: Bei Hilfs-Apps, die Spiele-Inhalte generieren oder auf andere Weise mit dem Spiel interagieren sollen, ist zu beachten, dass dies aufgrund des Sandbox-Prinzips in Android nicht unmittelbar möglich ist. Somit handelt es sich bei solchen Anwendungen mit großer Wahrscheinlichkeit um Betrug.

  • Warnung durch Google: Laut der Google Play Nutzungsbedingungen sendet Google eine Warnung an User, auf deren Gerät schädliche Anwendungen gefunden werden. Zu diesem Zweck holt der Konzern regelmäßig Informationen zu Netzwerkverbindungen und installierten Anwendungen ein, sofern diese Option nicht in der 'Google Einstellungen' App deaktiviert wurde.

  • Anti-Malware-Apps: Dies Apps können ohne Root-Rechte keine Anwendungen entfernen. Sie sind jedoch in der Lage, die installierten Anwendungen zu prüfen und den Nutzer vor Gefahren zu warnen.

Sag uns deine Meinung!

Um einen Kommentar zu verfassen, melde Dich an oder registriere Dich jetzt auf Netz.de!

Das könnte dich auch interessieren!
Werbung
Ab ins Netz mit dir