Android Malware

Android Malware Sockbot - infizierte Geräte werden Teil von Botnetzen

, München, Symantec | Autor: Herbert Wieler

Android Malware Sockbot - infizierte Geräte werden Teil von Botnetzen

Infizierte Geräte werden Teil von potentiellen DDoS-Attacken

Das Symantec Security Research Team hat mit Sockbot eine neue und bereits weit verbreitete Art von Android-Malware entdeckt. Die Malware tauchte im Google Play Store in Form verschiedener Apps auf, mit denen man scheinbar Charaktere in dem Online-Spiel Minecraft verändern kann. Im Hintergrund ist eine hochentwickelte und gut getarnte Angriffsfunktion aktiviert.

Mit der Malware infizierte Geräte werden zu einem Botnet hinzugefügt und sind dadurch potentiell an DDoS-Attacken beteiligt. Bislang hat Symantec acht derartige Apps aufgespürt, die schätzungsweise bereits auf 600.000 bis 2,6 Millionen Geräten installiert sind. Neben Anwendern in den USA, Russland, der Ukraine und Brasilien sind auch Nutzer in Deutschland besonders von der neuen Malware betroffen.

Funktionsweise

Die App verbindet sich mit einem Befehls- und Kontrollserver (C&C) am Port 9001, um weiterführende Befehle zu empfangen. Der C&C-Server weist dann an, dass die App mithilfe von SOCKS einen Socket öffnet und auf eine Verbindung von einer bestimmten IP-Adresse an einem bestimmten Port wartet. Sobald dies geschehen ist, erhält die App den Befehl sich mit einem bestimmten Zielserver zu verbinden. Nach der Kopplung erhält sie eine Liste mit Werbeanzeigen und den zugehörigen Metadaten (Anzeigentyp, Name, Bildschirmgröße). Mit dem gleichen SOCKS-Proxy-Mechanismus wird der App befohlen, eine Verbindung zu einem Ad-Server herzustellen und die Anzeigenanfragen zu starten. In der Anwendung selbst gibt es keine Funktionalität zum Anzeigen von Anzeigen.

Diese hochflexible Proxy-Topologie könnte problemlos erweitert werden, um eine Reihe von Netzwerk-basierte Schwachstellen auszunutzen und damit möglicherweise Sicherheitsgrenzen zu überschreiten. Zusätzlich zur Aktivierung willkürlicher Netzwerkangriffe kann der Footprint der Infektion auch genutzt werden, um einen verteilten Denial-of-Service-Angriff (DDoS-Angriff) zu unterstützen.

Mit dieser Kampagne ist ein Entwicklerkonto namens FunBaster verknüpft. Der bösartige Code wird verschleiert und die Schlüsselzeichenfolgen werden verschlüsselt. Dadurch werden Erkennungsmethoden in der Basis vereitelt. Darüber hinaus signiert der Entwickler jede App mit einem anderen Entwicklerschlüssel, wodurch auch statische Analyse-basierte Heuristiken umgangen werden können.

Symantec hat Google Play über die Präsenz dieser schädlichen Apps bereits am 6. Oktober informiert. Google hat die Entfernung der Apps aus dem Store bestätigt.

Nach wie vor sollten App-Nutzer folgende Sicherheitsregeln beherzigen

  • Halten Sie Ihre Software auf dem neuesten Stand
  • Laden Sie keine Apps von unbekannten Websites herunter.
  • Installieren Sie nur Apps aus vertrauenswürdigen Quellen.
  • Achten Sie genau auf die von einer App angeforderten Berechtigungen.
  • Installieren Sie eine geeignete mobile Sicherheits-App, um Ihr Gerät und Ihre Daten zu schützen.
  • Machen Sie häufige Backups wichtiger Daten.