X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Und wieder: Trojaner / Adware im Market entdeckt - Update: Entwarnung

Käpt'n Andreas V.
46


(Bild: Symantec.com)

Die Beliebtheit von Android hat auch ihre Schattenseiten: Es wird zum Ziel von zwielichtigen Gestalten, die den Market - der leider überhaupt nicht überwacht wird – mit schädlichen Apps überhäufen.

Symantec – ein Hersteller von Antivirus-Software – hat nun einen Bot Namens Counterclank in mehreren Spiele-Apps entdeckt.

Update: Es handelt es sich nicht um einen Trojaner. Der Prozess com.apperhand (der im Zusammenhang genannt wird), steht in Verbindung mit einem Werbenetzwerk. In wie weit dieses Daten sendet, prüfen wir gerade. Aktueller Stand: Minütlich werden Daten übermittelt. Welcher Art prüfen wir gerade.

Update 2: Wir sind uns jetzt einig, dass es sich bei der Meldung von Symantec nicht um einen Trojaner handelt. Im Zuge der Recherchen ist uns bei dem genannten Service/Prozess com.apperhand doch was interessantes aufgefallen.

Der von der App "Balloon Spiel" von "Ogre Games" instanziierte Service sendet im Minuten-Takt unverschlüsselt an die URL: http://www.apperhand.com/ProtocolGW/protocol/commands

Hierbei wird versucht, mit einem Json (JavaScript Object Notation) Request, folgende Daten an die oben genannte URL zu übertragen, was hier als der gesamte Request zu sehen ist:

POST /ProtocolGW/protocol/commands HTTP/1.1

device-id: xn3gshI006Vb87nXP%2BoN%2FC0WGR0%3D

protocol-version: 1.0.6

User-Agent: Mozilla/5.0 (Linux; U; Android 2.3.6; de-de; GT-N7000 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1

Content-Type: application/json

Accept-Encoding: gzip

Accept: application/json

Content-Length: 714

Host: www.apperhand.com

Connection: Keep-Alive

{"initiationType":"schedule",
"needSpecificParameters":true,
"applicationDetails":
{"abTests":null,"applicationId":"525885018","build":
{"brand":"samsung","device":"GT-N7000","manufacturer":"samsung","model":"GT-N7000","os":"Android","versionRelease":"2.3.6","versionSDKInt":10},
"developerId":"987550915","deviceId":"xn3gshI006Vb87nXP+oN/C0WGR0=",
"displayMetrics":
{"density":2.0,"densityDpi":320,"heightPixels":1280,"scaledDensity":2.0,"widthPixels":800,"xdpi":317.5,"ydpi":306.71698},
"locale":"de_DE","protocolVersion":"1.0.6","sourceIp":null,
"userAgent":"Mozilla/5.0 (Linux; U; Android 2.3.6; de-de; GT-N7000 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1"},
"parameters":{}}

Wenn man diese oben genannte URL manuell aufruft, gibt es die gleiche Antwort vom Server, wie sie zur Zeit auch die App erhält:

503 Service Unavailable

No server is available to handle this request.

Es sei noch gesagt, dass dieser Service in einer Amazon e2 Cloud liegt. Dies erfährt man wenn man die IP Adresse, welche benutzt wird, einmal auflöst: dualstack.searchlb-945845589.us-east-1.elb.amazonaws.com

Es ist nun die Frage, ob dieser Minuten-Takt, in welchem die Informationen übermittelt werden daher rührt, dass die App Ihre Daten zur Zeit, aufgrund der nicht vorhandenen Serverseitigen Ressourcen, nicht an den Mann bringen kann (es gibt im Logcat auch eine entsprechende Fehlerausgabe dazu), oder ob dies ein Standardverhalten der App ist.

Was zumindest diese App besser als Vlingo macht: die DeviceID (wir vermuten die IMEI dahinter) wird hier verschlüsselt oder encoded, bevor sie übertragen wird. Das bedarf noch einer genaueren Überprüfung. Jedenfalls dürfte die App "Deal or BE Millionaire" genau das gleiche tun, da auch hier die gleichen Logcat Ausgaben (auch mit der 503 Fehlermeldung) zu beobachten sind:

01-28 20:27:06.625 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
01-28 20:28:07.265 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
01-28 20:29:07.865 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable

In etwas über einer Stunde sammelten sich so Datentransfermengen von Downstream: 196 KB aus dem Netz und Upstream 260 KB ins Netz an.

Ermittelt wurden diese Daten mit Hilfe der üblichen Logcat Ausgaben, sowie durch das Mitschneiden des kompletten Netzwerkverkehrs dieser App.
/Ende Update2

Dieser Bot erlaubt es, Befehle von außen an das Telefon zu senden und somit unter anderem die MAC-Adresse, die SIM-Kartennummer und die IMEI auszulesen. Weiterhin wird die Startseite des Browsers verändert, Werbung eingeblendet (vermutlich der einzige Grund für diesen Trojaner / diese Adware: Geld verdienen) und manchmal auch ein „Such-Icon“ auf dem Homescreen abgelegt. Erschreckend ist die Anzahl der Downloads, die die infizierten Apps haben. Symantec geht von mehreren Millionen aus. Der Ausspruch von Steve Jobs – Android is for porn – bewahrheitet sich, wenn man die Titel der infizierten Apps mal genauer betrachet:

  • iApps7 Inc | Counter Elite Force 
  • iApps7 Inc | Counter Strike Ground Force
  • iApps7 Inc | CounterStrike Hit Enemy 
  • iApps7 Inc | Heart Live Wallpaper 
  • iApps7 Inc | Hit Counter Terrorist 
  • iApps7 Inc | Stripper Touch girl 
  • Ogre Games | Balloon Game 
  • Ogre Games | Deal & Be Millionaire 
  • Ogre Games | Wild Man 
  • redmicapps | Pretty women lingerie puzzle 
  • redmicapps | Sexy Girls Photo Game
  • redmicapps | Sexy Girls Puzzle 
  • redmicapps | Sexy Women Puzzle

Heise online berichtet, dass die Entfernung des Trojaner relativ simpel ist – eine Deinstallation der infizierten App soll ausreichen (Menu > Einstellungen > Anwendungen > Anwendungen verwalten).

Verwandte Themen

Auch interessant

Magazin / Updates
98 vor 3 Tagen

Google veröffentlicht Kamera-App im Play Store [UPDATE]

Magazin / Apps
11 vor 4 Tagen

Google Play: Oster-Sale bringt Schnäppchen und Geschenke

Magazin / Apps
8 vor 1 Woche

Top 5 Mini-Games: Fünf neue Spiele für zwischendurch

Magazin / Updates
33 vor 2 Wochen

Neues “People”-Menü: Der Google Play Store wird endlich sozial

Magazin / Apps
91 vor 2 Wochen

Google erklärt Play Store zur Sex-freien Zone

Magazin / Apps
9 vor 3 Wochen

God of Light: Es werde Licht!

Magazin / Apps
35 vor 3 Wochen

Top 5 Apps für den Lockscreen

Kommentare

Neuen Kommentar schreiben:
  • User-Foto
    Denis F. 28.01.2012 Link

    Ganz an mir vorbei gegangen, Danke Kapt'n ;-)

    0
    0
  • Gerrit G. 28.01.2012 Link

    Wird echt Zeit, dass da ein wenig Kontrolle reingebracht wird. Da vergeht einem ja der ganze Spaß am Handy, wenn man sich nicht mal bei Apps aus dem offiziellen Market sicher sein kann.

    0
    0
  • Andreas T. 28.01.2012 Link

    was kann man, außer eine große datenbank mit den den infos anlegen, eigentlich "gefährliches" mit MAC-Adresse, SIM-Kartennummer und IMEI anstellen?

    0
    0
  • Stephan 28.01.2012 Link

    Nur zur Eränzung:

    Die Hälfte der angegeben Apps sind nicht (mehr) im Market vorhanden.
    Symmantec selber stuft den Trojaner als RiskLevel1: Very Low ein.

    Das soll das Ganze nicht verharmlosen, aber man sollte das auch nicht aufbauschen.

    0
    0
  • PeterShow 28.01.2012 Link

    Komisch, ich hatte weder von diesen Apps was gehört noch hätte ich mir diese installiert...

    0
    0
  • User-Foto
    Hans K. 28.01.2012 Link

    Ganz ehrlich? Manchmal empfinde ich sogar sowas wie Schadenfreude gegenüber diejenigen, die eine gewisse Art von Apps herunterladen.

    0
    0
  • Stephan 28.01.2012 Link

    Der Trojaner schickt nicht viel mehr als das App Vlingo,
    das hier die Tage zu recht in die Kritik genommen wurde.

    Vielleicht habe ich es übersehen, aber ich kann nichts finden das das App von außen Befehle annimmt (Bot). Soweit ich das aus der Beschreibung sehe,
    schickt es ganz klassisch bestimmte Infos an einen Webserver.

    0
    0
  • Mathis Friedrich 28.01.2012 Link

    Ganz ehrlich werso einen mist runterläd ist es selber schuld :D!

    0
    0
  • PeterShow 28.01.2012 Link

    @Hans K.
    Ich auch ;-)

    0
    0
  • User-Foto
    Aron L 28.01.2012 Link

    Hatte bis eben noch Deal or be Millionaire..
    Kann jetzt noch was passieren?
    auch dieses "such-icon" war mal da.. bitte um hilfe

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Ich habe keine der Apps gehabt, schau aber mal, ob bei Dir noch der Prozess upperhand läuft.

    0
    0
  • User-Foto
    Aron L 28.01.2012 Link

    wie kann ich den Prozess den sehen?

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Menü - Einstellungen - Anwendungen - Laufende Dienste

    0
    0
  • User-Foto
    Leif Sikorski 28.01.2012 Link

    Immerhin sind den Nutzern bei Android bisher noch keine großen finanziellen Schäden entstanden wie dies beispielsweise bei iOS der Fall ist. Wirklich schädliche Dinge gab es bisher noch nicht und selbst die Top3 Schadapps die von Lookout gelistet werden beschränken sich auf Apps die Donwloads gegen Premium SMS anbieten oder den Nutzer zum rooten auffordern.

    Wenn man wirklich einem Nutzer finanziell schaden möchte ginge dies auch ganz ohne ersichtliche Schadsoftware und dies ist auf jeder Plattform möglich.

    @gundula
    Es gibt eine Kontrolle im Android Market. Die featured apps werden von mehreren Personen kontrolliert - wer also Sorge hat kann sich auf diese beschränken.

    Generell ist aber ein gesundes Misstrauen noch immer der beste Schutz. In der Regel sind die betroffenen Apps ja meist schnell zusammengeflickte 08/15 Apps.

    0
    0
  • User-Foto
    Aron L 28.01.2012 Link

    hab android 4.0 , muss ich dann einfach auf 'ausgeführte'? und wie heißt der Prozess genau?

    0
    0
  • User-Foto
    Wuffze W. 28.01.2012 Link

    lustig :D hier ein artikel von letztens
    http://www.20min.ch/digital/webpage/story/13085974
    Symantec :D

    0
    0
  • Andreas T. 28.01.2012 Link

    sehr interessanter beitrag dazu im heiseforum:
    http://www.heise.de/security/news/foren/S-Panikmache-von-Symantec-Let-s-have-a-closer-look/forum-220765/msg-21358009/read/

    zusammenfassung: die app "CounterStrike Hit Enemy" schreibt in der beschreibung wofür genau die berechtigungen benötigt werden!

    ein bisschen recherche anstatt die meldung einfach nur weiterzuverbreiten wäre vielleicht nicht schlecht, oder?

    0
    0
  • Susie 28.01.2012 Link

    puh Glück gehabt :)

    0
    0
  • Andy N. 28.01.2012 Link

    Nach den Bewertungen sollen die Apps so schlecht sein, dass die von den meisten Nutern eh wieder gelöscht wurden.

    Aber auch hier hilft Berechtigungen lesen, erst recht bei so dubiosen Apps:
    Wenn da schon steht:
    "Schädliche Anwendungen können so möglicherweise Ihre Browserdaten löschen oder ändern."
    Und die Apps rein gar nicht in Zusammenhang mit dem Browser steht, dann sollte einem etwas komisch vorkommen.

    Grundsätzlich ist aber sowas relativ harmlos und auch am PC sehr stark verbreitet.
    Wär nur wünschenswert, wenn Google schneller reagiert.

    0
    0
  • Stephan 28.01.2012 Link

    @ Andreas T.: 1+ !!

    0
    0
  • User-Foto
    Leif Sikorski 28.01.2012 Link

    Lookout hat die Warnung von Symantec auch als "premature" bezeichnet :)

    http://m.androidcentral.com/android-malware-scare-may-have-been-premature

    Ich halte von den ganzen Sicherheitsfirmen nichts, aber wenn es eine gibt die ich noch ein wenig respektiere und glauben schenke dann sind es Lookout. Diese waren die einzigen die stets auch die Aussage trafen dass die meiste Malware sich in Drittanbieter Märkten verbreiten und ebenfalls auch einer der wenigen welche die Malware beim Namen nennen so dass jeder selbst nachschauen kann wie "harmlos" sie ist.

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Tja, der Kommentar auf Heise ist von 14:25 Uhr, mein Blog von 13:31 Uhr.

    Das Meldungen von Herstellern von Antiviren-Software mit Vorsicht zu genießen sind, weiß eich. Daher habe ich auch recherchiert und keine Gegenteiligen Meldungen gefunden = gebloggt.

    Auch wenn es kein Trojaner ist... der Autor spricht nur von der einen App, was ist mit den anderen? Ein hijacken des Browsers finde ich auch für eine kostenlose App bedenklich...

    0
    0
  • Nico B. 28.01.2012 Link

    Schlecht, sehr schlecht.
    Zum Glück hatte ich so eine Schrott hab nie darauf die da gelistet sind!

    0
    0
  • Stephan 28.01.2012 Link

    Alle der aufgeführten Apps werden laut Symmantec unter "Counterclank" geführt.
    Somit dürfte dort codemäßig überall die gleiche Mimik hinterlegt sein.

    Es ist Ad-Ware.

    Da zeigt sich mal wieder auf was für dubiose Einfälle die Hersteller kommen,
    bzw. kommen müßen, nur damit sie ihre Software kostenlos anbieten können!

    0
    0
  • User-Foto
    Leif Sikorski 28.01.2012 Link

    @Stephan
    Eben. Die Tage hatte Lookout ja auch eine App veröffentlicht welche die Top 3 der verbreiteten "Malware" auflistet. Wirklich bedrohliches gibt es dort nichts. Was heute als Malware einstuft wurde hieß vor wenigen Jahren noch "Jamba" und co...

    Selbst App die andere Apps gegen Premium SMS zum download anbieten werden ja als Malware geführt. Sicher sind solche Apps nicht schön, aber sie erfordern schon viel Dummheit vom Nutzer und haben mit Malware nicht viel zu tun. Aber Hauptsache sie können ihre Software an den Mann bringen und die Presse immer mit reißerischen News versorgen.

    0
    0
  • Andreas T. 28.01.2012 Link

    "Tja, der Kommentar auf Heise ist von 14:25 Uhr, mein Blog von 13:31 Uhr."
    Die Liste mit den Apps gabs aber schon bevor du gebloggt hast, oder?

    "Das Meldungen von Herstellern von Antiviren-Software mit Vorsicht zu genießen sind, weiß eich. Daher habe ich auch recherchiert und keine Gegenteiligen Meldungen gefunden = gebloggt."
    Mit recherchieren meinte ich nicht in anderen blogs gucken ob die das auch schreiben. Da einige Apps ja noch im market sind, kann man die Beschreibung und auch die Begründung (im Falle von iApps7 Inc) ja schnell finden.

    "Auch wenn es kein Trojaner ist... der Autor spricht nur von der einen App, was ist mit den anderen? Ein hijacken des Browsers finde ich auch für eine kostenlose App bedenklich..."
    Ähm, iApps7 und Ogre Games schreiben beide in der Beschreibung, dass es diese Suchlinks und so gibt, sogar mit ** Bitte lesen ** davor (sowas gehört dann auch zu deiner Recherche). Wer das nicht sieht und sich nachher beschwert ist einfach selber Schuld. Ich finde es auch bedenklich, dass die facebookapp sms versenden will, ist die dadurch auch automatisch ein Trojaner (in der Beschreibung steht ja noch nichteinmal wofür dieses Recht benötigt wird)?

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Ich neige mein Haupt und gebe Dir recht, Andreas....

    0
    0
  • User-Foto
    Wuffze W. 28.01.2012 Link

    Androidpit wird langsam zu Androidbild

    0
    0
  • Andreas T. 28.01.2012 Link

    @Käpt'n: mein kommentar kam vielleicht ein bisschen zu abwertend rüber:
    ich fidne es selbstverständlich super, dass ihr schnellstmöglich über mögliche gefahren im androidbereich berichtet. aber gerade weil du weisst, dass anti-viren-hersteller gerne mal übertreiben muss man (leider) bei so einer meldung genauer hinsehen.
    gerade die tatsache, dass in der beschreibung darauf hingewiesen wird finde ich hier erwähnenswert, denn mal ehrlich, welcher virus scheibt schon: "hey, ich bin ein virus der folgendes macht, bitte lad mich runter"
    irgendwas wird an der sache bestimmt dran sein, sonst wären ja einige der programme nicht plötzlich verschwunden. einen richtigen schaden können die apps bzw die trojaner/adware/virenteiler der apps ja mit den berechtigungen nicht anrichten, da hätten (theoretisch) facebook, handsentsms usw mehr möglcihkeiten zu...

    0
    0
  • PeterShow 28.01.2012 Link

    @Andreas T.
    Sehe ich genauso...

    0
    0
  • Dirk64 28.01.2012 Link

    Hatte mir die Woche mal Den ICS Launcher runtergeladen und auch sofort dieses "Search" Icon auf dem Homescreen. Hab Fullwipe gemacht und Backup eingespielt, ist bei mir entfernt. Syndicate Team, von denen die App ist, habe ich informiert.
    ICS Launcher:https://market.android.com/details?id=mobi.SyndicateApps.ICSv2&feature=search_result#?t=W251bGwsMSwyLDEsIm1vYmkuU3luZGljYXRlQXBwcy5JQ1N2MiJd

    0
    0
  • Andreas70 28.01.2012 Link

    Kann man die IMEI eigentlich auch unter ROOT ändern?

    0
    0
  • Mathias Penz 28.01.2012 Link

    Der Eintrag hat sich nun noch ein wenig "geändert" seit seiner ersten Veröffentlichung. Zum Thema habe kann man meine Meinung hier nachlesen

    http://www.penzweb.de/blog/2012/01/28/hokuspokus-neue-trojaner-im-android-market-die-keine-sind/

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Danke für die Links. Wir spielen jetzt mal wieder Sherlock Holmes und Dr. Watson... dann gibt es ein Update

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Erstes Update ist oben eingefügt. Weitere Analysen folgen gerade...

    0
    0
  • ©h®is 28.01.2012 Link

    super, danke!

    0
    0
  • Alexander Fromm 28.01.2012 Link

    Gut das ich so einen sinnfreien Scheiß an Apps erst gar nicht installiere. Ausserdem würde ich mir nie Symantec Tools auf mein Android installieren. Taugt nix. Habe damals die Norton Utilitys auf dem Rechner gehabt und die haben nix gefunden. Ich habe dann plötzlich Probleme mit dem Rechner gehabt. Die Festplatte ausgebaut in einem Linux Kasten gemountet das Laufwerk und per Linux testen lassen. Siehe da ein Trojaner druff. Na danke Symantec. Das über die Jahre gesehen öfter mal gehabt bei Kunden. Ne die nicht mehr auf meinem Rechner. Sich gute Tests bei großen Zeitschriften wie Bild Dir Deine Meinung als Computer-Zeitschrift kaufen und taugen tut das Ganze nicht. Ich habe übrigens von Anfang an einen Virenscanner auf dem Android-Smarty. Derzeit Bitdefender Premium Suite.

    @Andreas T. : gebe Dir da voll recht. Symantec hat derzeit sowieso auf dem PC-Markt geloost und versucht jetzt seine Umsatzeinbussen bei den Android-Usern wieder auszugleichen indem die Panik unter diesen geschürrt wird. Traurig das ein so alter Hersteller zu solchen Mitteln greift. :(

    0
    0
  • Jörg V. 28.01.2012 Link

    Wir haben mal upgedatet ... es ist jetzt klarer, wohin und was im einzelnen momentan übertragen wird.

    0
    0
  • PeterShow 28.01.2012 Link

    Ein weiterer Grund für LBE.. Dort einfach Internet bei allen Apps abschalten die das nicht unbedingt brauchen. Und man sollte sich natürlich auch nicht gerade jede App herunterladen...

    0
    0
  • Andreas T. 28.01.2012 Link

    superklasse und dickes lob!
    nicht einfach den artikel so gelassen, sondern weiter nachgeforscht!

    0
    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Danke für das Lob, und vor allem die Mithilfe. Nobodys perfect, man ist aber lernfähig und die Community steht einem beiseite ;-)

    Ich habe übrigens mal Symantec durchlaufen lassen, nachdem ich Deal & Be millionaire installiert habe... Nichts gefunden :-P

    0
    0
  • Hans Landa 28.01.2012 Link

    Im Market gibts nur Scareware von Symantec, Kaspersky und Konsorten. LBE und fertig.

    0
    0
  • User-Foto
    go4java 29.01.2012 Link

    ...so richtig interessant wird's bei gerooteten Smartphones :-)

    0
    0
  • Holger S. 29.01.2012 Link

    Es ist zwar nicht abzustreiten das es auch Viren, Malware, Trojaner und Co. für Android u. Co. gibt, und dies auch noch zunehmen wird, aber Symantec will ja Sicherheit verkaufen. Und wenn alles relativ sicher ist, dann wird es durch Angstparolen unsicher gemacht.
    Schlussfolgerung: Der User wird verunsichert, liest das Symantec alles sofort entdeckt was bösartig ist. Der User bildet ein Vertrauen gegenüber Symantec aus, fühlt sich bei denen sicher, und kauft deren Produkte.
    Endeffekt. Symantec verdient Kohle und der User schaltet ab dann einfach sein "Brain" aus.

    0
    0
  • ©h®is 29.01.2012 Link

    danke für das update und eure Arbeit und mühe (und das am wochenende)

    klasse!!!

    0
    0

Author
6

Kontaktliste zum Anfang springen, Display zu dunkel und Kontakte (Namen) ansagen funktionieren nicht!