Thema: Android diverses ...

[Micke]

Im Android-Market wächst die Zahl der aufgefallenen Malware-Apps...

BUSTED! Secret app on millions of phones logs key taps.  

Posted in Security, 30th November 2011
---> http://www.theregister.co.uk/2011/11/30/smartphone_spying_app/

[SiLæncer]

Forscher der North Carolina State University haben mehrere Sicherheitslücken in einigen weitverbreiteten Android-Smartphones entdeckt, durch die Angreifer etwa Daten abgreifen oder löschen, SMS-Nachrichten versenden, die Kommunikation abhören oder eine Standortbestimmung vornehmen können. Verursacht wird diese Schwachstelle durch vorinstallierte Apps einiger Smartphone-Anbieter, die sich nicht an das Android-Sicherheitskonzept halten.

Die Forscher hatten acht Smartphones von vier Herstellern untersucht: Wildfire S, Legend und EVO 4G von HTC, das Motorola Droid und Droid X, Samsungs Epic 4G sowie Googles Modelle Nexus One und Nexus S. Während die Wissenschaftler in ihrer Studie "Systematic Detection of Capability Leaks in Stock Android Smartphones" an Googles Referenzimplementierungen auf den Nexus-Modellen wenig zu beanstanden hatten, waren sie nach eigenen Angaben überrascht darüber, dass sich die herstellereigenen Implementierungen nicht an das rechtebasierte Sicherheitsmodell von Android hielten.

Die Schwachstellen entstehen vor allem dadurch, dass installierte Apps ihre Rechte wie den Zugriff auf lokale Daten, GPS- oder Mobile-Netze an andere weiterreichen können. Indem die Hersteller ihre vorinstallierten Apps derart konfiguriert haben, können andere Apps diese Rechte nutzen, ohne dass der Benutzer ihnen diese Rechte zugebilligt hat. Von Google und Motorola haben die Forscher inzwischen eine Bestätigung der Schwachstellen erhalten, bei HTC und Samsung stießen sie dagegen auf Schwierigkeiten, die Erkenntnisse weiterzureichen.

Quelle : www.heise.de

[SiLæncer]

Googles Bezahlsystem für Android-Smartphones, Wallet, speichert die Daten über Kontostände und Bezahlvorgänge unverschlüsselt ab. Das haben Forscher von Viaforensics herausgefunden.

Wallet ist Googles Einstieg ins mobile Bezahlen. Die im Frühjahr dieses Jahres vorgestellte App soll das bequeme und sichere Bezahlen mit dem Smartphone erlauben, hatte Google versprochen. Bis dahin scheint es allerdings noch ein längerer Weg zu sein. Lediglich die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden bisher sicher abgespeichert. Praktisch alle anderen bei der Nutzung von Wallet anfallenden Daten landen unverschlüsselt auf dem Smartphone und können prinzipiell ausgelesen werden. Das berichtet Andrew Hoog, leitender Forscher des Sicherheitsunternehmens Viaforensics, in einem Blogbeitrag auf der Homepage des Unternehmens.

In dem Beitrag heißt es: "Während Google Wallet bei der sicheren Speicherung Ihrer vollständigen Kreditkarte einen ordentlichen Job macht [...], ist die Menge von Daten, die Google Wallet unverschlüsselt speichert, beträchtlich."

Die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden auf dem NXP-Chip der für Wallet geeigneten Smartphone-Modelle gespeichert. Bisher gilt der verwendete Chip PN65 als sicher. Die übrigen Daten zu Konten und Bezahlvorgängen werden laut Viaforensics unverschlüsselt "in verschiedenen SQLite-Datenbanken" auf dem Smartphone gespeichert.

Darin sieht Hoog ein erhebliches Sicherheitsrisiko: "Die Gelegenheit, diese Daten für einen Social-Engineering-Angriff auf Verbraucher zu nutzen, ist ziemlich groß. Wenn ich zum Beispiel Ihren Namen weiß, wann Sie Ihre Kreditkarte zuletzt benutzt haben, die letzten vier Ziffern und das Gültigkeitsdatum der Karte, so bin ich ziemlich optimistisch, dass ich diese Daten zu meinem Vorteil nutzen könnte."

Google hat die Ergebnisse der Viaforensics-Forscher nicht bestritten. Gegenüber NFC World erklärte Google dazu: "Die Viaforensics-Studie widerlegt die Effektivität der mehrschichtigen Sicherheitsmechanismen in Android OS und Google Wallet nicht. Der Bericht bezieht sich auf ein gerootetes Handy. Aber selbst in diesem Fall schützt das sichere Element die Bezahlungsinstrumente, einschließlich Kreditkartennummer und Sicherheitscode. [...] Auf der Grundlage der Befunde im Bericht haben wir die App geändert, um zu verhindern, dass gelöschte Daten auf gerooteten Geräten wiederhergestellt werden können."

Quelle : www.golem.de

[SiLæncer]

Nach Angeben von Symantec sind 13 Android-Apps mit einem Trojaner verseucht. Anhand der Download-Zahlen lässt sich abschätzen, dass mehrere Hunderttausend Smartphones und Tablets betroffen sind. Bei den Anwendungen handelt es sich hauptsächlich um Spiele der Anbieter iApps7 Inc, Ogre Games und redmicapps, die mit dem Trojaner Counterclank infiziert sind. Die Apps verlangen bei der Installation nach ungewöhnlich weitreichenden Berechtigungen, wie dem Zugriff auf Bookmark-Liste und den Browser-Verlauf sowie Standort-Daten und Telefonstatus.

Statt CounterStrike holt man sich den Trojaner
Counterclank auf's Smartphone.

Betroffene Geräte erkennt man daran, dass ein Dienst namens apperhand läuft und in einigen Fällen auf einem der Startbildschirme ein Search-Icon auftaucht. Der Trojaner liest nach Angaben von Symantec unter anderem Daten wie Bookmarks, Geräteinformationen, IMEI- und SIM-Kartennummer aus und modifiziert die Browser-Homepage. Mit unerwünschten Werbeeinblendungen profitierten die Anbieter. Mit der Deinstallation der App unter "Einstellungen > Anwendungen > Anwendungen verwalten" lässt sich der Trojaner vergleichsweise einfach entfernen. Einige der infizierten Programme befinden sich derzeit immer noch im Angebot des Google Android Market.

Quelle : www.heise.de

[SiLæncer]

Die von Symantec als Schadsoftware eingestuften Apps seien gar keine Malware, kritisiert der Android-Sicherheitsspezialist Lookout. Vielmehr handele es sich bei dem vermeintlichen Schadcode-Paket "Apperhand" um die Integration eines aggressiven Anzeigennetzwerks. Lookout bietet wie Symantec selbst Antiviren-Software für Android an.

Symantec hatte 13 Apps, die ein Werbemodul des Apperhand-Netzwerks enthalten, als bösartig eingestuft und davor gewarnt, dass sich bereits bis zu 5 Millionen Android-Nutzer damit infiziert hätten. Apperhand übermittelt einen Hash der Geräte-IMEI an einen Server, um den Benutzer eindeutig identifizieren zu können. Zudem öffnet das Werbemodul das Gerät für den Empfang von Werbung mittels Push-Nachrichten, fügt dem Programm-Launcher eine Verknüpfung zur Apperhand-Suchmaschine hinzu und kann Einträge zur Favoritenliste des Browsers hinzufügen. Im Internet gibt es zudem Berichte von Anwendern, nach denen die Apps auch die Standardsuchmaschine und die Startseite des Browsers manipulieren.

Diese Aktivitäten rechtfertigen jedoch nach Meinung von Lookout die Einstufung als Malware nicht: "In die Kategorie Malware gehören Programme, die dazu entworfen wurden, bösartige Aktivitäten auf dem Gerät durchzuführen. Sie kann etwa dazu genutzt werden, persönliche Informationen zu stehlen, durch die Identitätsdiebstahl oder finanzieller Schaden möglich ist", erläutert das Unternehmen. Dass normale Anwender die Adware-Aktivitäten nicht auf ihren Smartphones haben möchten, genüge dafür nicht.

Die Apps fordern bei der Installation alle nötigen Rechte an, wie ein Nutzer des heise-Forums dokumentiert hat. Es steht jedoch außer Frage, dass viele Nutzer die Rechteabfrage des Android-Betriebssystems bestenfalls flüchtig überfliegen und sich nicht nur über die Konsequenzen ihrer Entscheidung im Klaren sind. Nach wie vor ist es im Auslieferungszustand nicht möglich, einer App gezielt einzelne Rechte zu entziehen.

Inzwischen hat Google einige der von Symantec als Malware klassifizierten Apps aus dem Market entfernt. Mit den aufdringlichen Werbemaßnahmen scheint dies jedoch nicht in Verbindung zu stehen: Die entfernten Apps haben offenbar widerrechtlich bekannte Spielenamen wie CounterStrike genutzt, um Nutzer in die Werbefalle zu locken. Andere Spiele mit Apperhand-Code, etwa die Apps von Ogre Games, kann man nach wie vor im Android Market finden.

Quelle : www.heise.de

[ritschibie]

Vergangene Woche warnte das Sicherheitsunternehmen Symantec vor einer als "Android.Counterclank" bezeichneten Malware, die bis zu fünf Millionen Systeme infiziert haben soll. Nun gaben die Sicherheitsexperten wieder Entwarnung.

Die "Entwarnung" kann man allerdings auch als Rückzieher verstehen. Wie 'The Verge' berichtet hat Symantec den Begriff "Malware" nämlich aus der Beschreibung von "Android.Counterclank" wieder entfernt.

Symantec schreibt, dass "die Situation, in der wir uns im Moment wiederfinden mit jener vergleichbar ist, als Adware, Spyware und ähnliches erstmals auf Windows aufgetaucht sind", so das US-Unternehmen. "Viele Anbieter von Sicherheitssoftware haben damals diese Anwendungen nicht als das erkannt, was sie waren." Erst mit der allgemeinen Zustimmung (bzw. dem Bewusstsein) von Computer-Nutzern hätten Sicherheitsfirmen begonnen, auf diese Art der Gefahr hinzuweisen, so Symantec.

Anders gesagt: Bei Anwendungen mit "Android.Counterclank" handelt es sich zweifellos um eine dubiose Software, als Malware kann sie aber auch nicht bezeichnet werden. Bereits kurz nach der Symantec-Warnung hatte der auf Android-Sicherheit spezialisierte Konkurrent 'Lookout Mobile Security' der Warnung der Symantec-Kollegen widersprochen und gemeint, dass Counterclank keine Malware im eigentlichen Sinne sei. Es sei vielmehr eine "aggressive" Werbe-Software, die viele Funktionen habe, die Nutzer als "unangenehm" empfinden würden.

Als Malware könne die Software aber nicht bezeichnet werden, weil sie nicht dazu diene, Nutzerdaten zu stehlen oder das Gerät in irgendeiner Weise zu gefährden. Lookout betonte allerdings auch, dass man sie dennoch ernstnehmen sollte.

Symantec schreibt im aktuellsten 'Blogeintrag', dass man Google auf die Software hingewiesen habe, der Android-(Market-)Betreiber die umstrittenen 13 Apps aber im Angebot gelassen hat, weil man keinen Verstoß gegen die Nutzungsbedingungen erkennen konnte. Die "überzogene" Symantec-Warnung wurde auch wegen angeblicher "Panikmache" kritisiert, da Anbieter von Sicherheitssoftware direkt von einem gesteigerten Schutzbedürfnis der Nutzer profitieren.

Quelle: www.winfuture.de

[SiLæncer]

In einer Reihe von Android-Smartphones von HTC ist eine Sicherheitslücke gefunden worden, über die Angreifer WLAN-Zugangsdaten samt Kennwörtern ausspähen können. HTC ist gerade dabei, die betroffenen Geräte mit einem Patch zu versorgen.

In verschiedenen Android-Smartphones von HTC wurde im September 2011 eine Sicherheitslücke entdeckt, über die Angreifer Zugriff auf WLAN-Zugangsdaten erhalten können. In einer mit HTC koordinierten Aktion hat das US-Cert das Sicherheitsleck nun bekanntgemacht. Der Fehler kann von Angreifern dazu missbraucht werden, auch WLAN-Kennwörter auszuspähen.

Für einen Angriff ist lediglich eine Android-Anwendung erforderlich, die Zugriff auf die WLAN-Funktionen des Android-Geräts erhält. Wenn diese Anwendung dann auch noch die Befugnis hat, Daten zu versenden, könnten Angreifer so etwa Zugangsdaten zu Firmennetzwerken erhalten.

Von dem Sicherheitsloch sind unter anderem die HTC-Modelle Desire S, Desire HD und Evo 3D betroffen. Das Nexus One soll den Fehler nicht haben. Ansonsten nennt das entsprechende Sicherheitsdokument weitere HTC-Modelle, die aber nicht in Deutschland vermarktet werden. Derzeit liegen keine Informationen dazu vor, ob noch weitere in Deutschland angebotene HTC-Smartphones von dem Problem betroffen sind.

Nach Angaben von HTC haben einige der betroffenen Modelle bereits ein Update erhalten, für die übrigen Modelle wird mit der Patch-Verteilung gerade begonnen. Google hatte den Android Market nach Anwendungen durchsucht, die das Sicherheitsloch ausnutzen, wurde aber nicht fündig. Demnach gibt es derzeit im Android Market keine Anwendung, die diesen Fehler ausnutzt.

Im Rahmen des Fehlers hat Google Optimierungen am Android-Code vorgenommen, um solche Attacken besser abwehren zu können. Prinzipiell gibt es den Fehler wohl nur in Android-Smartphones von HTC, während Android-Smartphones anderer Hersteller das Problem nicht kennen.

Quelle : www.golem.de

[ritschibie]

Seit einiger Zeit richtet sich der Blick der Android-Nutzer verstärkt auf das Thema Malware. Immer häufiger heißt es, dass das Google-Betriebssystem von schädlicher Software betroffen sei. Nun hat Google das Gegenmittel namens Bouncer vorgestellt.

"Bouncer" heißt im Englischen Türsteher und das ist auch schon die beste Beschreibung für den gerade auf dem 'Google Mobile Blog' vorgestellten Dienst für das Android-Betriebssystem. Seine Aufgabe ist vor allem das automatische Scannen des Android Markets.

Der Nutzer soll von Bouncer nichts mitbekommen, da der Service nicht auf dem Gerät selbst installiert wird, sondern seine Arbeit intern im Android Market verrichtet. Auch für (legitime) Entwickler, die keinerlei Schadsoftware in ihre Anwendungen einbauen, bedeutet das keinen zusätzlichen Zulassungsprozess. Bouncer arbeitet versteckt im Hintergrund.

Die neue Sicherheitsfunktion im Android Market scannt neue Apps und Anwendungen, die bereits im Android Market sind, sowie Entwickler-Accounts. Sobald eine App im Android Market hochgeladen wurde, beginnt Bouncer mit einer Analyse auf Malware, Spyware und Trojaner.

Außerdem wird das Verhalten einer jeweiligen App untersucht und mit anderen, zuvor gescannten Anwendungen verglichen, um mögliche Bedrohungen festzustellen. Die Untersuchung von Entwicklerkonten dient dazu, um "Wiederholungstäter" auszusieben und sie von einem "Comeback" über einen alternativen Account abzuhalten.

Nach Google-eigenen Angaben verrichtet Bouncer schon seit geraumer Zeit seine Dienste im Android Market. Zwischen der ersten und der zweiten Jahreshälfte 2011 habe man auf diese Weise die Anzahl von potenziell bedrohlicher Downloads um 40 Prozent reduzieren können. Im Blog-Beitrag widerspricht Google auch diversen Meldungen von Softaware-Sicherheitsfirmen: Der Rückgang habe sich laut dem Android-Entwickler gerade zu dem Zeitpunkt ereignet, als die externen Unternehmen einen markanten Anstieg von Malware im Market gemeldet haben.

Quelle: www.winfuture.de

[SiLæncer]

Nur sieben Produkte mit einer Erkennungsrate von über 95 Prozent, aber dafür ganze 24 mit weniger als 65 Prozent – ein von AV-Test durchgeführter Test zeigt, dass Virenschutz-Apps für Android-Handys noch längst nicht die Zuverlässigkeit der Desktop-Programme erreicht haben.

Parallel zur explodierenden Anzahl der verfügbaren Apps steigt auch die Zahl der Schädlinge für Android-Smartphones. Vom Online-Banking-Trojaner über Premium-Dialer bis hin zu Spionageprogrammen reicht das Spektrum der Schadprogramme. AV-Test hat mit insgesamt 618 Schädlingen die Erkennungsleistung von 41 Virenscanner für Android-Smartphones getestet.

Dabei haben die Programme der bekannten AV-Hersteller Avast, Dr. Web, F-Secure, Ikarus und Kaspersky über 95 Prozent aller Schädlinge erkannt; auch die auf Mobil-Plattformen spezialisierten Scanner von Lookout und Zoner landeten in dieser Spitzengruppe. Weitere zehn Produkte erkannten noch mehr als 65 Prozent. Doch mit BullGuard, Commodo, G Data und McAfee landeten auch einige aus der PC-Welt bekannte Namen im Feld mit schlechten Erkennungsraten von weniger als zwei Dritteln. Bei insgesamt sechs Proukten wie Android Antivirus und Android Defender konnten die Tester überhaupt keine Erkennungsfunktionen ausmachen.

Die Aussagekraft des Tests muss man allerdings ein wenig relativieren, weil die insgesamt 618 Schädlinge Variationen von nur etwa 20 Basisversionen wie Rooter, Opfake und FakeInst waren. Das gaukelt eine Vielfalt vor, die so eigentlich gar nicht vorhanden ist. Man darf davon ausgehen, dass auch die insgesamt knapp 12.000 Malware-Exemplare für die Android-Plattform im AV-Test-Zoo auf sehr viel weniger Grundformen zurückzuführen sind.

Die Scanner erkennen Schädlinge vor allem mit Hilfe passender Signaturen; erweiterte Erkennungsmethoden wie ausgefeilte Heuristiken oder gar Verhaltenserkennung darf man nicht erwarten. Das reduziert die Schutzfunktion der AV-Software auf bekannte Malware; vor bislang unbekannter Schadsoftware, von der es noch keine Signaturen gibt, kann sie somit nicht schützen.

Google hingegen durchforstet den eigenen App-Store nach heuristischen Kriterien auf Malware, die auch auf unbekannte Schädlinge ansprechen können. Allerdings gibt es mittlerweile auch bereits Trojaner, die den eigentlichen Schadcode erst nachträglich aus dem Netz nachladen, was eine präventive Erkennung im Store fast unmöglich macht. Diese Gefahr ist ein direktes Resultat der Tatsache, dass bei Android – anders als etwa bei iOS – auszuführender Code nicht digital signiert sein muss.

Quelle : www.heise.de


Nutze selber sowohl auf Smartphone und Tablet als auch auf dem PC seit einiger Zeit die kostenlose Lösung von Avast ... und bin sehr zufrieden damit ...

[ritschibie]

Die Malware-Labors von McAfee melden einen neuen Android-Trojaner, der sich als von der Bank bereitgestellter Generator für Transaktions-Tokens ausgibt. Android/FakeToken.A fragt den Authentisierungs-Code des Anwenders ab und generiert ein angebliches Token, das in Wirklichkeit eine wertlose Zufallszahl ist.

Der Trojaner sendet den Authentisierungs-Code sowie Geräte-Informationen wie IMEI und IMSI sowohl an eine Rufnummer als auch an Kontroll-Server im Internet. Die Angreifer können sich dann mit dem Authentisierungs-Code auf dem Konto des Opfers anmelden und eine SMS mit mTAN-Kennungen bestellen. Trifft die angeforderte SMS auf dem Smartphone ein, fängt der Android-Trojaner sie im Hintergrund ab und leitet die mTANs an die Urheber der Malware weiter. Damit hat der Angreifer alle Informationen zum Zugriff auf das Konto des Opfers.

Darüber hinaus hält sich Android/FakeToken.A ständig auf dem neuesten Stand. Über einen Eintrag im Android-Scheduler überprüft der Trojaner in regelmäßigen Abständen, ob sich die Rufnummern und Kontroll-Server-URLs geändert haben und aktualisiert bei Bedarf seine Konfiguration. Zusätzlich kann die Malware dem Angreifer alle Einträge des Smartphone-Adressbuchs senden.

Der Trojaner wird den Anwendern mutmaßlich über SMS-Nachrichten oder Phishing-Mails untergeschoben, die angeblich von der Bank stammen. Carlos Castillo von McAfee zufolge beschränkt sich die Verbreitung derzeit auf den spanischsprachigen Raum.

Quelle: www.heise.de

[SiLæncer]

Kriminelle nutzen gehackte Webseiten, um Android-Nutzern "im Vorbeisurfen" (Drive-By-Download) Malware unterzujubeln. Besucht ein Android-Nutzer eine der infizierten Seiten, beginnt ohne sein Zutun der Download der Installationsdatei Update.apk. Startet der Nutzer den Installer daraufhin, gibt er sich als Sicherheitsupdate "com.Security.Update" aus.

Statt das System abzusichern, kontaktiert die auf den Namen NotCompatible getaufte Malware jedoch einen Kommandoserver im Internet und öffnet dem Angreifer eine Art eine Hintertür in das lokale Netz, wie die Antivirenfirma Lookout berichtet. Auf diese Weise könnte der Angreifer etwa auf Webserver oder Netzwerkfreigaben zugreifen, die eigentlich vom Internet abgeschirmt und dadurch nicht öffentlich erreichbar sind. Ob derartige Zugriffe tatsächlich stattgefunden haben, geht aus dem Bericht nicht hervor.

Laut Lookout ist dies der erste bekannte Fall, in dem gehackte Webseiten zur Verbreitung von Android-Malware missbraucht wurden. Der Drive-By-Code wurde auf dem Server androidonlinefix.info gehostet und als iFrame in die geknackten Seiten eingebettet. Den bekamen aber nur Android-Nutzer zu sehen, da der Code den User Agent des Besuchers ausgewertet hat. Schädlinge, die es auf Desktop-Betriebssysteme abgesehen haben, werden schon seit geraumer Zeit auf diese Weise verbreitet.

Sicherheitslücken haben die Kriminellen nicht ausgenutzt, sodass der Nutzer die Datei noch manuell ausführen muss. Darüber hinaus muss die Option "Installation von Nicht-Market-Apps zulassen" aktiv sein, damit man die Schadsoftware überhaupt installieren kann. Laut Lookout sind die infizierten Seiten nicht besonders gut besucht, der Schaden soll sich daher in Grenzen halten.

Quelle : www.heise.de

[SiLæncer]

Das Schnüffelprogramm WhatsApp Sniffer zeigt Nachrichten von WhatsApp-Nutzern im gleichen Netzwerk an. Das Tool leitet den gesamten Datenverkehr zum Beispiel in einem WLAN durch das Smartphone und sucht nach Whatsapp-Nachrichten, die im Klartext übertragen werden. Es genügt ein Android-Smartphone, auf dem man den Root-Zugang freigeschaltet hat.

Der Messaging-Dienst WhatsApp hat sich bei Smartphone-Nutzern inzwischen als SMS-Ersatz etabliert, weil man anders als beim SMS-Versand nur den entstehenden Datentraffic zahlen muss – in der Nähe eines WLAN-Hotspots ist die Nutzung somit in der Regel kostenlos.

Allerdings ist es gerade in solchen öffentlichen Netzen eine denkbar schlechte Idee, WhatsApp zu benutzen: Denn wie schon der c't-Artikel Gut App-geschaut gezeigt hat, gehen anders als etwa bei iMessage die WhatsApp-Nachrichten im Klartext über die Leitung, wodurch sie ein neugieriger Datenlauscher leicht mitlesen kann.

Was bislang den Einsatz verschiedener Tools und rudimentäre Netzwerkkenntnisse erfordert hat, erledigt das WhatsApp Sniffer nun bequem per Fingertap auf dem Smartphone. Wer WhatsApp installiert hat kann sich eigentlich nur schützen, indem er auf die Nutzung in einem WLAN verzichtet, in dem er nicht jedem einzelnen Mitbenutzer vertraut.

Das Tool leitet den gesamten Netzwerkverkehr im lokalen Netz mittels ARP-Spoofing durch das Smartphone. Entdeckt es im durchgeleiteten Verkehr WhatsApps-Nachrichten, zeigt es diese in Form einer komfortablen Konversationsansicht an. Es zeigt sowohl ein- als auch ausgehende Nachrichten an und macht auch vor übertragenen Fotos und Videos nicht Halt. Bei einem kurzen Test von heise Security hielt das Tool, was es verspricht.

Ursprünglich wurde WhatsApp Sniffer über den Downloadmarkt Google Play angeboten, allerdings hat es Google dort vor wenigen Tagen entfernt. Das wird seine Verbreitung jedoch bestenfalls bremsen, aber nicht stoppen. Eine Google-Suche fördert schnell die APK-Installationsdatei zu Tage. Auch die App DroidSheep, mit der man Sitzungen von Facebook und anderen Webdiensten kapern kann, wurde vor einiger Zeit aus dem Google-Shop verbannt – und erfreut sich bei Kids immer noch großer Beliebtheit.

Quelle : www.heise.de

[ritschibie]

Jon Oberheide und Charlie Miller ist es offenbar gelungen, Googles Bouncer zu kapern, der Android-Apps auf mögliche Schadfunktionen untersuchen soll. In einem Vortrag Ende der Woche wollen sie dann auch offenlegen, wie sie Software mit Schadfunktionen an Googles Tests vorbei in den Market Google Play geschmuggelt haben.

Bereits seit 2011 durchforstet Google den hauseigenen App-Store nach möglicherweise schädlichen Programmen. Dazu werden die Apps in einer virtuellen Umgebung ausgeführt und beobachtet. Das jetzt vorab veröffentlichte Video zeigt, wie eine App während sie in der virtuellen Bouncer-Umgebung läuft, eine Verbindung nach Hause öffnet und den beiden Forschern dort eine Linux-Kommandozeilen-Shell bereitstellt. Innerhalb dieser Virtuellen Maschine können sie sich dann frei bewegen und sehen unter anderem, dass es sich um eine Qemu-Instanz handelt. Ein Trojaner könnte dies ebenfalls feststellen – etwa an der Existenz des Verzeichnisses /sys/qemu_trace – und sich daraufhin nur noch von seiner guten Seite zeigen.

[ Invalid YouTube link ]

Jon Oberheide demonstriert eine interaktive Shell in der Bouncer-VM.

Das Ganze ist als Werbung für ihren Vortrag gegen Ende der Woche auf der Summercon in New York gedacht. Die Experten wollen zeigen, wie Betrüger Schadsoftware in Google Play unterbringen können, ohne eine Entdeckung durch Googles Bouncer fürchten zu müssen. Dass sich eine automatisierte Überprüfung von Apps in Virtuellen Maschinen umgehen lässt, ist allerdings keine echte Überraschung. Windows-Trojaner suchen häufig gezielt nach Anzeichen für VMware oder andere Virtualisierungtechniken und stellen sich dann tot, um eine Analyse zu erschweren. Außerdem stellten die Hersteller von Antirviren-Software erst kürzlich fest, dass sie bereits seit Jahren Exemplare des Superspions Flame in ihren Software-Pools hatten, ihre Testprogramme darauf jedoch nicht angesprungen waren.

Quelle: www.heise.de

[ritschibie]

Forscher demonstrieren ihr Clickjacking-
Rootkit für Android. (Bild: NC State University)

Sicherheitsforscher der US-Universität North Carolina State haben ein funktionsfähiges Clickjacking-Rootkit für Android entwickelt. Sie nutzen dazu eine Schwäche im Android-Framework.

Xuxian Jiang und Kollegen von der North Carolina State University haben ein Clickjacking-Rootkit für Android entwickelt. Die Sicherheitsforscher wollen damit belegen, dass es möglich ist, mit einer infizierten App ein Smartphone stärker zu manipulieren, als es bisher der Fall war.

Dazu nutzen sie ein von ihnen entdecktes Sicherheitsproblem in Android 4.0.4 alias Ice Cream Sandwich und früheren Versionen des Betriebssystems. Welche genau das sind, wurde nicht angegeben, ebenso wenig ob auch das neue Android 4.1 Jelly Bean betroffen ist. Das Rootkit greift nicht über den Kernel, sondern über das Android-Framework an. Das bedeutet, dass keine aufwendigen Manipulationen der Firmware nötig sind.

So könnte das Rootkit etwa den Standardbrowser durch einen Browser ersetzen, der genauso aussieht und sich ebenso verhält - aber alle eingegebenen Informationen wie etwa Konto- und Kreditkartendaten unbemerkt an Dritte weiterleitet.

Video: Proof-of-Concept von der UC State University

Weitreichende Angriffsmöglichkeiten

Zudem könnte das Rootkit genutzt werden, einige oder alle Apps auf dem Smartphone zu verstecken oder zu ersetzen. In einem Demonstrationsvideo zeigen die Forscher das Rootkit in Aktion.

"Diese Art des Angriffs wäre viel ausgeklügelter als das, was wir bisher gesehen haben, spezifisch angepasst auf Smartphone-Plattformen", so Jiang in einer Pressemitteilung der NC State. "Das Rootkit war nicht so schwer zu entwickeln, und keine existierende mobile Sicherheitssoftware kann es erkennen."

Jiang und seine Kollegen wollen nun daran arbeiten, Smartphones gegen solche Attacken besser zu schützen. Ihr Ziel ist es, Black-Hat-Hackern zuvorzukommen und Systeme sicherer zu machen.

Erfahrung hat Jiang damit bereits: Er ist Gründer des im Mai 2012 angekündigten Android Malware Genome Project, einem gemeinschaftlichen Forschungsprojekt zum besseren Verständnis existierender Android-Malware.

Quelle: www.golem.de

[ritschibie]

Diese Woche sorgte der Bericht eines Antispam-Spezialisten von Microsoft für einiges an Aufregung: Terry Zink will Hinweise auf ein Android-Botnetz gefunden haben, was Google nun aber entschieden bestreitet. Auch Zink ruderte inzwischen zurück.

Wie das US-Technik-Blog 'The Verge' berichtet, hat Google dem Bericht bzw. der Einschätzung von Terry Zink, Programm-Manager für Antispam-Maßnahmen im ForeFront-Security-Team von Microsoft, widersprochen: Die eigenen Analysen der Sachlage hätten das Suchmaschinenunternehmen in einer andere Richtung geführt, so Google.

"Die Beweislage stützt die Android-Botnetz-Behauptung nicht", schreibt Google. "Unsere Untersuchung weist darauf hin, dass Spammer infizierte Rechner und gefälschte mobile Signaturen verwenden, um Anti-Spam-Mechanismen der E-Mail-Plattform, die sie verwenden, zu umgehen."

Auch Zink, der die Botnetz-Behauptung am Mittwoch in seinem Blog aufgestellt hat, ist sich seiner Sache inzwischen nicht mehr ganz so sicher: In einem zweiten 'Blog-Eintrag' schreibt der Sicherheitsexperte, dass tatsächlich keine echten Beweise für die Existenz eines derartigen Botnetzes existierten.

Zink gibt zu, dass die Hinweise darauf auch irreführend sein könnten: Die Message-ID im Header einer jeweiligen Nachricht lasse sich fälschen, ebenso der Hinweis "Sent from Yahoo! Mail on Android" am Ende der Spam-Mail. Der Microsoft-Mann räumt ein, dass er diese Möglichkeit von Anfang an in Betracht gezogen habe, sich aber entscheiden habe, dass ein Android-Botnetz mehr Sinn ergeben habe.

Auch andere Sicherheitsexperten, darunter von Sophos, sagten, dass die derzeitige Faktenlage kein endgültiges Urteil zulasse. Gegenüber 'The Register' sagte Sophos-Experte Chet Wisniewski, dass es lediglich "kleine Beweise-Teile gibt, aber keinen endgültigen ('Smoking Gun')." Auch Yahoo hat inzwischen angekündigt, die Sache näher untersuchen zu wollen.

Quelle: www.winfuture.de