Mobile Security

Android Warnung vor Super Free Music Player im Google Play

Android Warnung vor Super Free Music Player im Google Play
Die Sophos Experten warnen vor weiteren Malware-Attacken auf Google Play

Der Super Free Music Player von Google Play war kürzlich mit Malware behaftet. Wie nun bekannt wurde, hat Google die infizierte App entfernen können. Trotzdem sollten Nutzer aufmerksam sein. Experten befürchten weitere Attacken auf ähnliche Apps.

Sophos Experten analysierten Schädling

Wie it-daily-net unter Berufung auf die Erkenntnisse der SophosLabs Experten berichtete, verbuchte der Musikplayer Super Free Music Player Downloads von 5.000 bis 10.000 in kürzester Zeit. Der Upload bei Google Play erfolgte offenbar am 31. März 2017.  Mittels raffinierter Technik gelang es der Malware, Sicherheitstools von Google zu umgehen. Dabei kam ein Verfahren zur Anwendung, das aus dem Game-App BrainTest bekannt ist.

Die Malware ist in der Lage zusätzlichen Schad-Code von entfernten Webseiten zu downloaden und Geräteinformationen hochzuladen, inklusive aller installierten Apps, Wohnort, Sprache, Model, SDK Versionen usw.

Sie verfügt über folgende Techniken:

  • Nutzung von Zeitbomben
  • Domain und/ oder IP Mapping
  • Verwendung von dynamischem Code und Spiegelung
  • Einsatz von multiplen Ebenen

Die Schadsoftware Andr/Axent-DS

Die Schadsoftware Andr/Axent-DS

Zur Malware-Analyse erklärte Michael Veit, Technology Evangelist bei Sophos:

„Sophos hat die Schadsoftware als Andr/Axent-DS ausfindig gemacht und es ist wahrscheinlich, dass wir diese Malware in anderen Apps wieder sehen. Wir haben diese Malware analysiert und die Nutzer von Sophos Mobile Security sind geschützt“

„Wir haben die kostenlose Sophos Mobile Security für Android im Programm, die jedem Endanwender einen zuverlässigen Schutz bietet. Dieses Beispiel zeigt, dass auch vertrauenswürdige Anbieter wie Google Play Malware nicht ausschließen können und das war sicher nicht die letzte Attacke dieser Art.“

Die technische Funktion

Sophos erläutert die technische Funktionsweise folgendermaßen:

  • Der sogenannte Dropper, die sich selbst ausführende Programmdatei, die man auf Google Play herunterlädt, heißt: com.superfreemusic.songapp.
  • Zuerst startet der Dropper jede Stunde einen bestimmten Service, um den Schad-Code (Payload) zu entschlüsseln und zu starten.
  • Dann nutzt der Dropper dynamischen Code und Spiegelungen, um die Payload-Methode zu laden.
  • Um nicht von Google Play erkannt zu werden, prüft die Payload, ob das Gerät ein echtes Handy ist, oder vielleicht nur eine Entwicklungsumgebung. Dazu prüft sie verschiedene Eigenschaften wie zum Beispiel die Telefonnummer (15555215554, 15555215556…) und spezifische andere Merkmale.
  • Nach acht Stunden Wartezeit wird die schadhafte Payload gestartet, sie kann weitere verschlüsselte Payloads von entfernteren Webseiten herunterladen. Anschließend übermittelt sie eine Liste der Geräteinformationen an eine hxxp-Seite. 

Weiterführende Links:

App Sicherheit

20 Tipps für mobile Sicherheit

Sophos

it-daily.net: Google Play Super Free Music Player enthielt Schadsoftware

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Mobile Security

Sicherheitsexperten warnen vor neuem Peak bei „Mobile Spyware“. Unternehmen sind gefordert, mehr in den Schutz mobiler Geräte zu investieren

Im Alltag vieler Unternehmen hat sich die Nutzung tragbarer web-fähiger Geräte etabliert. Das hat unweigerlich Cyber-Kriminelle auf den Plan gerufen, die speziell mit Hinblick auf diese Geräte und ihre vermehrte Nutzung zugeschnittene Schadprogramme entwickelt haben.

Trends bei Cyber Crimes 2024: Experten rechnen mit neue Welle an Social-Engineering-Betrugsmaschen und Identitätsdiebstahl

Auch im kommenden Jahr, da sind sich Cyber-Sicherheitsexperten aller Couleur sicher, wird für Unternehmen in puncto Cyber-Bedrohungen von entscheidender Bedeutung sein, dass sie bereit zu fortlaufenden Innovationen sind und die Trends in der Cyber-Bedrohungslandschaft stets im Blick behalten.

Mobile Security

Kryptowährungen im stationären Handel? Gamer in Deutschland sind dafür

In Deutschland nutzt beziehungsweise besitzt nur etwa jeder Siebte derzeit Kryptowährungen [1], wobei Gaming-Fans den Großteil der Nutzer bilden dürften. Das zeigt denn auch eine aktuelle, vom Sicherheitsanbieter Kaspersky in Auftrag gegebene  auf Gamer fokussierte Umfrage.

Eine Millionen Nutzer weltweit Opfer eines multifunktionalen Wurm-Frameworks

Eine bisher unbekannte, hochentwickelte Malware, die weltweit bereits mehr als eine Million Nutzer angegriffen hat, wurde zunächst lediglich als bösartiger Krypto-Miner identifiziert. Nun haben Sicherheitsexperten das ganze Ausmaß der Komplexität dieser Schadsoftware aufgedeckt: Der Miner entpuppte sich dabei als Malware mit einem multifunktionalen Wurm-Framework.

Diese Themen könnten Sie auch interessieren!

X
Firewall, die Brandschutzmauer Ihrer Daten und Ihrer Privatsphäre

Zutritt verboten: Gestatten … Firewall, die Brandschutzmauer Ihrer Daten und Ihrer Privatsphäre

Personal Firewalls haben eine lebhafte Geschichte hinter sich. Früher wurden diese Brandschutzmauern für Daten als sehr...
oben