Sicherheitsforscher: 132 Android-Apps im Play Store enthalten Malware – für Windows

play 

Google hat im Laufe der Jahre einen sehr guten Schutz-Mechanismus gegen Malware in Android-Apps aufgebaut, so dass es selten bis gar nicht vorkommt, dass infizierte Apps ihren Weg in den Play Store finden und sich dort verbreiten können. Wie ein auf Software-Sicherheit spezialisiertes Unternehmen nun herausgefunden hat, befinden sich aber tatsächlich mehr als 100 Apps mit Malware im Play Store – allerdings für das falsche Betriebssystem.


Jede im Play Store hochgeladene App durchläuft eine Reihe von automatisierten Prüfprozessen im Play Store bevor diese freigeschaltet wird. Dadurch können sich Nutzer zu 99,9 Prozent darauf verlassen, dass sie sich keine Malware oder andere schadhafte Apps auf ihr Smartphone holen, wenn sie einzig und allein den Play Store zum Download von Apps benutzen. Aber selbst wer den Play Store umgeht, kann sich mit der Verify Apps-Funktion von Googles Algorithmen schützen lassen.

android windows

Wie die Sicherheitsforscher von Palo Alto Networks nun herausgefunden haben, befinden sich im Play Store tatsächlich 132 Apps, die Malware enthalten. Allerdings muss sich niemand darüber Sorgen machen, selbst wenn man die App installiert hat. Der enthaltene Schadcode kann unter Android nicht ausgeführt werden und ist für Microsofts Betriebssystem Windows bestimmt. Wie dieser Code in die Android-Apps gelangen konnte, gibt derzeit Rätsel auf. Die Forscher haben aber eine plausible Erklärung gefunden:

The 132 infected apps we discovered belong to seven different, unrelated developers. There is a geographical connection among the seven different developers: all seven have connections to Indonesia. The most straightforward clue comes from the app name. A significant number of discovered samples have the word “Indonesia” in their names. Moreover, one developer’s website links to a personal blog page written in Indonesian. The clearest pointer, though, is one developer’s certificate clearly states the state to be Indonesia.
 
One common way HTML files have been infected with malicious IFrames has been through file infecting viruses like Ramnit. After infecting a Windows host, these viruses search the hard drive for HTML files and append IFrames to each document. If a developer was infected with one of these viruses, their app’s HTML files could be infected. However, given that the developers may all be Indonesia, it’s also possible they may have downloaded an infected IDE from the same hosting website or they used the same infected online app generation platform.

Den Entwicklern gibt man für diese Verbreitung keine Schuld:

In either case, we believe the developers are not malicious and are victims in this attack. There are a few other pieces of supporting evidences from our investigation:
 
– All samples share similarities in their coding structure, suggesting that they may be generated from the same platform;
– Both malicious domains used resolve to sinkholes. If developers were the attacks behind all these, they could have replaced them with working domains to cause real damage;
– One infected sample attempts to download windows executable file. It suggests that, the attacker does not know about the target platform. Clearly, this is not the case for app developers.



Es dürfte sich also um sehr alten Code handeln, bei dem der Entwickler möglicherweise nicht einmal weiß dass er auf irgendeinem Wege infiziert worden ist. Dieser wurde dann einfach bei der Portierung der App auf Android mit übernommen, ohne es zu bemerken. Diese Theorie wird etwa auch dadurch gestützt, dass eine App versucht Inhalte von zwei Domains nachzuladen, die schon vor über vier Jahren geschlossen worden sind.

Dass Googles Filter diese Malware nicht erkennen liegt in der Natur der Sache, denn da der Code einem Android-Gerät nicht gefährlich werden kann, besteht über den Play Store gar keine Gefahr für die eigenen Nutzer. Dennoch dürfte man sich die Apps nun sicherlich genauer ansehen und sie vorsorglich dennoch aus dem Store entfernen – denn die Verbreitung von Schadsoftware jeglicher Art über Googles Plattform ist laut den Richtlinien verboten.

P.S. Interessant wäre es zu wissen, ob diese Apps in einem Android-Emulator für Windows Schaden anrichten könnten, oder auch dort von der Sandbox geschützt sind.

» Weitere Informationen im Palo Alto-Blog

[9to5Google]



Teile diesen Artikel: