Schadprogramme auf Android-Plattform unwirksam
Die infizierten APK-Dateien (Android Package) stellen keine direkte Bedrohung für Android-Geräte dar, da diese eingebetteten ausführbaren Windows-Binärdateien nur auf Windows-Systemen ausgeführt werden können, wie datensicherheit.de dazu ausführte. Auf der Android-Plattform sind sie unwirksam. Die Tatsache, dass diese APK-Dateien infiziert sind, zeigt, dass die Entwickler die Software auf kompromittierten Windows-Systemen erstellt haben, die mit Malware infiziert sind.
Diese Art der Infektion ist eine Bedrohung für die Softwarelieferkette (Software Supply Chain), da sich die Kompromittierung von Softwareentwicklern mehrfach schon als effektive Taktik für groß angelegte Angriffe erwiesen hat. Beispiele hierfür sind KeRanger, XcodeGhost und NotPetya.
Zahlreiche infizierte Apps
Mitarbeiter von Palo Alto Networks entdeckten eine Mischung aus infizierten und nicht infizierten Anwendungen derselben Entwickler. Der Grund dafür könnte sein, dass die Entwickler unterschiedliche Entwicklungsumgebungen für verschiedene Anwendungen verwendet haben.
Einige der infizierten Apps sind „Learn to Draw Clothing“, eine App, die das Zeichnen und Entwerfen von Kleidung beibringt, „Modification Trail“, eine App, die Ideen für die Modifizierung von Trailbikes zeigt und „Gymnastics Training Tutorial“, eine App für Gymnastikbewegungen. Unter diesen infizierten Anwendungen kann eine APK-Datei mehrere gefährliche PE-Dateien an verschiedenen Orten mit unterschiedlichen Dateinamen enthalten.
Die Infektion von Android-Anwendungen und Windows-Systemen
Die Experten fanden heraus, dass es eine PE-Datei (Portable Executable) gibt, die die meisten Android-Anwendungen infiziert. Die bösartige Aktivität ist die Schlüsselprotokollierung.
Auf einem Windows-System versucht ein Keylogger, Tastenanschläge zu protokollieren, die sensible Informationen wie Kreditkartennummern, Sozialversicherungsnummern und Passwörter enthalten können. Außerdem täuschen diese Dateien ihre Namen vor, um Legitimität vorzutäuschen. Solche Namen sind „Android.exe“, „my music.exe“, „COPY_DOKKEP.exe“, „js.exe“, „gallery.exe“, „images.exe“, „msn.exe“ und „css.exe“.
Verdächtige Aktivitäten
Während der WildFire-Analyse von Palo Alto Networks zeigten die untersuchten bösartigen PE-Dateien die folgenden verdächtigen Aktivitäten, wenn sie auf einem Windows-System ausgeführt werden:
- Erstellung von ausführbaren und versteckten Dateien in Windows-Systemordnern, einschließlich des Kopierens der PE-Datei selbst.
- Änderung der Windows-Registrierung, damit die PE-Datei nach dem Neustart automatisch startet.
- Versuche, über einen längeren Zeitraum zu ruhen.
- Verdächtige Netzwerkverbindungsaktivitäten zur IP-Adresse 87.98.185.184 über Port 8829
Die schädlichen PE-Dateien können nicht direkt auf den Android-Hosts ausgeführt werden. Eine Bedrohung besteht jedoch in folgenden Fällen: wenn die APK-Datei auf einem Windows-Rechner entpackt wird und die PE-Dateien versehentlich ausgeführt werden; wenn die Entwickler auch Windows-basierte Software ausgeben; oder wenn die Entwickler mit bösartigen Dateien infiziert sind, die auf Android-Plattformen ausgeführt werden können.
Wie weiter dazu verlautete hat das Unternehmen seine Erkenntnisse dem Google Security Team gemeldet, welches als Reaktion alle bekannten infizierten Anwendungen mittlerweile aus Google Play entfernt hat.
Weiterführende Links:
datensicherheit.de: Warnung vor schädlichen Google Play-Anwendungen
