Neue Familie von Android-Malware (Gunpoder)entdeckt

Palo Alto Networks warnt vor Gunpoder, der Virenscanner umgeht

Das Malware-Analyseteam von Palo Alto Networks, Unit 42, hat eine neue Familie an Android-Malware entdeckt: Gunpoder. Die Malware umgeht sehr effizient die handelsüblichen Anti-Virus-Lösungen.

Bis vor kurzem wurde Gunpoder von Antivirus-Engines noch als „Adware“ klassifiziert – was einmal mehr den schmalen Grad zwischen Malware und Adware belegt.

Palo Alto Networks hat nun aber aufgedeckt, dass Gunpoder eine beliebte Adware-Library in sich trägt um damit Antivirus-Lösungen auszutricksen, die solch ein Merkmal in der Regel als harmlos einstufen.

Die Absichten von Gunpoder sind aber weit von denen üblicher Adware entfernt, denn die Android-Malware enthält gleich mehrere verdächtige bzw. bösartige Komponenten. Dazu gehören:

  • Die Software sammelt sensible Daten der User
  • Die Malware verbreitet sich durch SMS-Botschaften
  • Die Software versendet tendenziell betrügerische Werbeanzeigen
  • Die Malware kann weitere Anwendungen ausführen

Um zu verhindern, dass die User Gunpoder deinstallieren, wurde die Malware in einen funktionsfähigen Nintendo-Emulator integriert. Die Kriminellen nutzen dabei das Grundgerüst der beliebten Open-Source-App Nesoid und integrieren darin ihren Schadcode.

Nach der Installation fordert die App zu einer Lizenz-Zahlung über Online-Payment-Dienste auf. Diese Aufforderung erscheint ebenfalls, wenn Nutzer die Cheat-Datenbank innerhalb der App aktivieren wollen. Lehnt der Nutzer beide Aufforderungen ab, schlägt die App vor, ein Spiel mit einem Kontakt aus dem Adressbuch zu teilen. Der via SMS versendete Link führt jedoch zu einer anderen Variante der Malware.

Gunpoder hat es auf Android-User abgesehen und wurde bisher in den folgenden Ländern aufgespürt: Frankreich, Italien, USA und Spanien, Irak, Thailand, Indien, Indonesien, Süd Afrika, Russland, Mexiko, Brasilien und Saudi Arabien.

Weitere Details zur neuen Android-Malware finden Sie unter:  http://researchcenter.paloaltonetworks.com/2015/07/new-android-malware-family-evades-antivirus-detection-by-using-popular-ad-libraries/