Android Apps

Malware Apps: Tekya Clicker versteckt sich in über 50 Kinderspielen und Apps

Malware Apps: Tekya Clicker versteckt sich in über 50 Kinderspielen und Apps

Google Play Store erneut ausgetrickst

Analyse von Israel Wernik, Danil Golubenko, Aviran Hazum

Obwohl Google Schritte unternommen hat, um seinen Play-Store zu sichern und böswillige Aktivitäten zu unterbinden, finden Hacker immer noch Mittel und Wege, um in den App-Store einzudringen und auf die Geräte der Nutzer zuzugreifen. Millionen von Handynutzern haben unbeabsichtigt bösartige Anwendungen heruntergeladen, welche die Möglichkeit haben, ihre persönlichen Informationen, Anmeldedaten, E-Mails, Textnachrichten und ihren geografischen Standort zu kompromittieren. So wurde im Februar 2020 die Haken-Malware-Familie von acht verschiedenen Apps auf über 50 000 Android-Geräten installiert, die zunächst alle sicher schienen.

Kürzlich identifizierten die Security-Forscher von Check Point eine neue Malware-Familie, die in 56 Anwendungen arbeitete und weltweit fast eine Million Mal heruntergeladen wurde. Mit dem Ziel, Werbebetrug auf mobilen Geräten zu begehen, imitiert die Malware – genannt Tekya – die Aktionen der Benutzer, um auf Anzeigen und Banner von Agenturen, wie Google AdMob, AppLovin, Facebook und Unity zu klicken.

24 der infizierten Apps richteten sich explizit an Kinder (von Puzzlespielen bis zu Rennspielen), der Rest waren Utility-Apps (wie Koch-Applikationen, Taschenrechner, Downloader, Übersetzer usw.).

Übersicht

Die Tekya-Malware verschleiert den nativen Code, um der Erkennung durch Google Play Protect zu entgehen und nutzt den ‚MotionEvent‘-Mechanismus in Android (eingeführt 2019), um die Aktionen des Benutzers zu imitieren und so künstliche Klicks zu erzeugen.

Während der Nachforschungen durch Check Point blieb die Tekya-Malware-Familie von VirusTotal und Google Play Protect unentdeckt. Letztendlich lauerte die Schadsoftware in insgesamt 56 Apps im Google Play Store.

Diese Kampagne klonte legitime, beliebte Apps, um ein bestimmtes Publikum, meist Kinder, zu erreichen. Ein großer Teil der Tekya-Malware befand sich hinter der Fassade von Kinderspielen. Die gute Nachricht ist, dass diese infizierten Anwendungen mittlerweile alle aus Google Play entfernt wurden – sich jedoch noch auf den Geräten der Nutzer befinden können.

Dies zeigt erneut, dass der Google Play Store weiterhin bösartige Applikationen nicht vollständig und sofort ausschließen kann. Es gibt fast 3 Millionen Anwendungen im Store, wobei täglich Hunderte von neuen Anwendungen hochgeladen werden – was es schwierig macht, zu überprüfen, ob jede einzelne Anwendung sicher ist. Daher können sich die Nutzer nicht allein auf die Sicherheitsmaßnahmen von Google Play verlassen, um zu garantieren, dass ihre Geräte geschützt sind.

Die vollständige Liste der infizierten Apps ist unten in Anhang 1 – IOC’s aufgeführt.

Abbildung 1 – Google Play-Seiten für einige der ‚Tekya‘-Anwendungen

Technische Analyse

Bei der Installation dieser Anwendung von Google Play wird ein Empfänger (‚us.pyumo.TekyaReceiver‘) für mehrere Aktionen registriert:

  • ‚BOOT_COMPLETED‘, damit beim Start des Geräts Code ausgeführt werden kann ("kalter" Start)
  • ‚USER_PRESENT‘, um festzustellen, wann der Benutzer das Gerät aktiv benutzt
  • ‚QUICKBOOT_POWERON‘, um den Code nach dem Neustart des Geräts laufen zu lassen

Abbildung 2 – TekyaReceiver-Registrierung

Dieser Empfänger hat einen Zweck – die native Bibliothek ‚libtekya.so‘ im Ordner ‚libraries‘ innerhalb der .apk-Datei zu laden.

Abbildung 3 – Der Code des Tekya-Receivers

Innerhalb des Konstruktors für die ‚Tekya‘-Bibliothek wird eine Liste von „Validator“-Objekten (die nichts validieren) erstellt.

Abbildung 4 – Teil des ‚Tekya‘-Konstruktors

Innerhalb jedes „Validators“ führt eine andere Methode, die so genannte „Validator“-Methode, eine interne Funktion aus der nativen Bibliothek ‚libtekya.so‘ aus.

Im Fall des ‚AdmobValidators‘ ruft die Funktion die ‚c‘-Funktion auf, die dann die ‚z‘-Funktion ausführt, die wiederum die ‚zzdtxq‘-Funktion aus der nativen Bibliothek aufruft.

Abbildung 5 – AdmobValidator’s überschriebene Funktion und Aufruf der internen nativen Funktion

Innerhalb der ‚libtekya.so‘-Bibliothek ist diese Funktion, die von den „Validators“ aufgerufen wird, für mehrere Aktionen verantwortlich:

  • Aufruf der Funktion ‚ffnrsv‘ – die für das Parsen der Konfigurationsdatei verantwortlich ist
  • Aufruf von ‚getWindow‘ und ‚getDecorView‘, um die benötigten Handles zu erhalten
  • Aufruf einer Unterfunktion, ’sub_AB2C‘ mit den Ergebnissen der obigen Funktionen

Abbildung 6 – Tekyas ‚zzdtxq’s nativer Code

Die Unterfunktion ’sub_AB2C‘ schließlich erzeugt und versendet Berührungsereignisse und imitiert dabei einen Klick über den ‚MotionEvent‘-Mechanismus.

Abbildung 7 – VirusTotal-Ausgabe für ‚Tekya‘-Anwendungen

Wie kann man sich schützen?

Wenn Sie den Verdacht haben, dass Sie eine dieser infizierten Anwendungen auf Ihrem Gerät haben, sollten Sie Folgendes tun:

  1. Deinstallieren Sie die infizierte Anwendung
  2. Installieren Sie eine Sicherheitslösung, um zukünftige Infektionen zu verhindern
  3. Aktualisieren Sie das Betriebssystem und die Anwendungen Ihres Geräts auf die neueste Version

Darüber hinaus müssen Unternehmen sicherstellen, dass die Geräte ihrer Mitarbeiter mit SandBlast Mobile gegen ausgeklügelte mobile Cyberattacken wie Tekya oder Haken (oder andere Malware) geschützt werden. Um persönliche Geräte vor Angriffen zu schützen, bietet Check Point außerdem ZoneAlarm Mobile Security an.