Diese Apps werden nicht im Google Play Store vorgehalten, sondern über Verteilungsmechanismen von Drittanbietern in China vertrieben.
Taomike ist ein Unternehmen, das zur größten Lösungsplattform für mobile Werbung in China avancieren will. Es bietet ein SDK und entsprechende Dienstleistungen, damit Entwickler mit aufwändigen Anzeigen eine hohe Rendite erzielen können. Taomike wurde bisher nicht mit schädlichen Aktivitäten in Verbindung gebracht, aber im Rahmen eines aktuellen Updates wurde die Software von Taomike mit der SMS-Diebstahl-Funktionalität ergänzt. Apps, bei welchen diese Bibliothek eingebettet ist, können zwar legitim sein, aber die Entscheidung der Entwickler, diese Bibliothek zu verwenden, macht diese Apps für Nutzer riskant.
Entwickler mobiler Apps suchen stets nach Möglichkeiten, um mit ihre Software Geld zu verdienen. Die gängigsten Methoden sind, Werbeinhalte einzublenden oder den Nutzern den In-App-Einkauf (In App Purchase, IAP) anzubieten. Plattformen für die mobile Monetarisierung erstellen Software-Bibliotheken, die Autoren in ihre Anwendungen einbetten können, um damit Geld zu verdienen. Palo Alto Networks hat bereits über die Gefahren berichtet, die sich durch die Installation von Apps ergeben, die IAPs durch SMS-Nachrichten aktivieren. Gefährlich ist dies für Nutzer deswegen, weil diese Apps in der Regel Zugriff auf alle SMS-Nachrichten haben, die an das Handy gesendet werden.
Nicht alle SMS-basierten IAP-Apps stehlen Nutzerdaten. WildFire fängt aber viele Proben mobiler Malware ab, die genau das tun. Die meisten davon werden von Malware-Autoren erstellt, die Command-and-Control (C2)-Server bei Hosting-Drittanbietern einrichten und häufig ihre Standorte wechseln, um nicht entdeckt zu werden. Unternehmen, die auf „mobile Monetarisierung“ spezialisiert sind, verbreiten diese Apps, die den Nutzern wenig Wert bieten, dafür aber sehr teuer sind. Installiert werden die Apps oft, indem Nutzer ausgetrickst werden, damit sie auf ein Pop-up klicken, um erst später einen Posten auf ihrer Telefonrechnung zu bemerken. Antivirus-Programme behandeln im Allgemeinen diese Anwendungen wie Malware. Im Falle von Taomike sind die schädlichen Aktivitäten jedoch schwieriger zu erkennen.
Auch nicht alle Anwendungen, die die Taomike-Bibliothek verwenden, stehlen SMS-Nachrichten. Die Analyse von Palo Alto Networks hat gezeigt, dass nur Proben, die die URL hxxp://112.126.69.51/2c.php eingebettet haben, diese Funktionalität aufweisen. An diese URL werden die SMS-Nachrichten hochgeladen. Die IP-Adresse gehört zum Taomikes API-Server, der auch von anderen Taomike-Diensten verwendet wird. Palo Alto Networks hat rund 63.000 Android-Apps, die die Taomike-Bibliothek enthalten, erfasst. Davon weisen aber „nur“ rund 18.000 die SMS-Diebstahl-Funktionalität auf.
Palo Alto Networks geht davon aus, dass es verschiedene Versionen des Taomike SDK gibt und nur einige davon durch das SMS-Upload-Verhalten auffallen. Den bisherigen Daten zufolge ist die Version, die die SMS-Diebstahl-Funktionen enthält, aktueller und wurde um den August 2015 herum veröffentlicht. Apps, die frühere Versionen der Bibliothek nutzen, scheinen sicher zu sein. Palo Alto Networks weiß zwar nicht, wie Taomike die gestohlenen SMS-Nachrichten nutzt, aber klar ist: Keine Bibliothek sollte sämtliche Mitteilungen erfassen und sie an einem System außerhalb des Handys senden. In der Version 4.4 von Android (KitKat) verhindert Google die Erfassung von SMS-Nachrichten durch Apps, es sei denn, sie wurden als Standard-SMS-App definiert.
Nutzer außerhalb von China und diejenigen, die nur Anwendungen aus dem offiziellen Google Play Store herunterladen, sind nicht gefährdet durch diese Bedrohung. Um Kunden vor dem Taomike SMS Stealer zu schützen, hat Palo Alto Networks präventiv die folgenden Schutzmaßnahmen zur Verfügung gestellt:
· Palo Alto Networks WildFire erkennt automatisch und blockiert bösartige APK-Samples (Android Application Package), die die SMS-Diebstahl-Bibliothek enthalten.
· Die Bedrohungspräventions-Signatur 14798 erkennt und blockiert schädliche C2-Kommunikation, einschließlich des SMS-Upload-Datenverkehrs von der Taomike-Bibliothek aus.
· Nutzer von Palo Alto Networks AutoFocus können diese Bedrohung identifizieren und untersuchen (Taomike).
Auch beliebte Monetarisierungs-Plattformen von Drittanbietern sind nicht immer vertrauenswürdig. Wenn Entwickler von diesen Anbietern Bibliotheken in ihre Apps übernehmen, sollten sie diese sorgfältig testen und auf untypische Aktivitäten hin überprüfen. Werbeplattformen, die Nutzer missbrauchen, müssen identifiziert werden, um die Sicherheit von allen mobilen Endgeräten und deren Nutzern zu gewährleisten.
Taomike ist ein Unternehmen, das zur größten Lösungsplattform für mobile Werbung in China avancieren will. Es bietet ein SDK und entsprechende Dienstleistungen, damit Entwickler mit aufwändigen Anzeigen eine hohe Rendite erzielen können. Taomike wurde bisher nicht mit schädlichen Aktivitäten in Verbindung gebracht, aber im Rahmen eines aktuellen Updates wurde die Software von Taomike mit der SMS-Diebstahl-Funktionalität ergänzt. Apps, bei welchen diese Bibliothek eingebettet ist, können zwar legitim sein, aber die Entscheidung der Entwickler, diese Bibliothek zu verwenden, macht diese Apps für Nutzer riskant.
Entwickler mobiler Apps suchen stets nach Möglichkeiten, um mit ihre Software Geld zu verdienen. Die gängigsten Methoden sind, Werbeinhalte einzublenden oder den Nutzern den In-App-Einkauf (In App Purchase, IAP) anzubieten. Plattformen für die mobile Monetarisierung erstellen Software-Bibliotheken, die Autoren in ihre Anwendungen einbetten können, um damit Geld zu verdienen. Palo Alto Networks hat bereits über die Gefahren berichtet, die sich durch die Installation von Apps ergeben, die IAPs durch SMS-Nachrichten aktivieren. Gefährlich ist dies für Nutzer deswegen, weil diese Apps in der Regel Zugriff auf alle SMS-Nachrichten haben, die an das Handy gesendet werden.
Nicht alle SMS-basierten IAP-Apps stehlen Nutzerdaten. WildFire fängt aber viele Proben mobiler Malware ab, die genau das tun. Die meisten davon werden von Malware-Autoren erstellt, die Command-and-Control (C2)-Server bei Hosting-Drittanbietern einrichten und häufig ihre Standorte wechseln, um nicht entdeckt zu werden. Unternehmen, die auf „mobile Monetarisierung“ spezialisiert sind, verbreiten diese Apps, die den Nutzern wenig Wert bieten, dafür aber sehr teuer sind. Installiert werden die Apps oft, indem Nutzer ausgetrickst werden, damit sie auf ein Pop-up klicken, um erst später einen Posten auf ihrer Telefonrechnung zu bemerken. Antivirus-Programme behandeln im Allgemeinen diese Anwendungen wie Malware. Im Falle von Taomike sind die schädlichen Aktivitäten jedoch schwieriger zu erkennen.
Auch nicht alle Anwendungen, die die Taomike-Bibliothek verwenden, stehlen SMS-Nachrichten. Die Analyse von Palo Alto Networks hat gezeigt, dass nur Proben, die die URL hxxp://112.126.69.51/2c.php eingebettet haben, diese Funktionalität aufweisen. An diese URL werden die SMS-Nachrichten hochgeladen. Die IP-Adresse gehört zum Taomikes API-Server, der auch von anderen Taomike-Diensten verwendet wird. Palo Alto Networks hat rund 63.000 Android-Apps, die die Taomike-Bibliothek enthalten, erfasst. Davon weisen aber „nur“ rund 18.000 die SMS-Diebstahl-Funktionalität auf.
Palo Alto Networks geht davon aus, dass es verschiedene Versionen des Taomike SDK gibt und nur einige davon durch das SMS-Upload-Verhalten auffallen. Den bisherigen Daten zufolge ist die Version, die die SMS-Diebstahl-Funktionen enthält, aktueller und wurde um den August 2015 herum veröffentlicht. Apps, die frühere Versionen der Bibliothek nutzen, scheinen sicher zu sein. Palo Alto Networks weiß zwar nicht, wie Taomike die gestohlenen SMS-Nachrichten nutzt, aber klar ist: Keine Bibliothek sollte sämtliche Mitteilungen erfassen und sie an einem System außerhalb des Handys senden. In der Version 4.4 von Android (KitKat) verhindert Google die Erfassung von SMS-Nachrichten durch Apps, es sei denn, sie wurden als Standard-SMS-App definiert.
Nutzer außerhalb von China und diejenigen, die nur Anwendungen aus dem offiziellen Google Play Store herunterladen, sind nicht gefährdet durch diese Bedrohung. Um Kunden vor dem Taomike SMS Stealer zu schützen, hat Palo Alto Networks präventiv die folgenden Schutzmaßnahmen zur Verfügung gestellt:
· Palo Alto Networks WildFire erkennt automatisch und blockiert bösartige APK-Samples (Android Application Package), die die SMS-Diebstahl-Bibliothek enthalten.
· Die Bedrohungspräventions-Signatur 14798 erkennt und blockiert schädliche C2-Kommunikation, einschließlich des SMS-Upload-Datenverkehrs von der Taomike-Bibliothek aus.
· Nutzer von Palo Alto Networks AutoFocus können diese Bedrohung identifizieren und untersuchen (Taomike).
Auch beliebte Monetarisierungs-Plattformen von Drittanbietern sind nicht immer vertrauenswürdig. Wenn Entwickler von diesen Anbietern Bibliotheken in ihre Apps übernehmen, sollten sie diese sorgfältig testen und auf untypische Aktivitäten hin überprüfen. Werbeplattformen, die Nutzer missbrauchen, müssen identifiziert werden, um die Sicherheit von allen mobilen Endgeräten und deren Nutzern zu gewährleisten.
