Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Und wieder: Trojaner / Adware im Market entdeckt - Update: Entwarnung

Käpt'n Andreas V.
46


(Bild: Symantec.com)

Die Beliebtheit von Android hat auch ihre Schattenseiten: Es wird zum Ziel von zwielichtigen Gestalten, die den Market - der leider überhaupt nicht überwacht wird – mit schädlichen Apps überhäufen.

Symantec – ein Hersteller von Antivirus-Software – hat nun einen Bot Namens Counterclank in mehreren Spiele-Apps entdeckt.

Update: Es handelt es sich nicht um einen Trojaner. Der Prozess com.apperhand (der im Zusammenhang genannt wird), steht in Verbindung mit einem Werbenetzwerk. In wie weit dieses Daten sendet, prüfen wir gerade. Aktueller Stand: Minütlich werden Daten übermittelt. Welcher Art prüfen wir gerade.

Update 2: Wir sind uns jetzt einig, dass es sich bei der Meldung von Symantec nicht um einen Trojaner handelt. Im Zuge der Recherchen ist uns bei dem genannten Service/Prozess com.apperhand doch was interessantes aufgefallen.

Der von der App "Balloon Spiel" von "Ogre Games" instanziierte Service sendet im Minuten-Takt unverschlüsselt an die URL: http://www.apperhand.com/ProtocolGW/protocol/commands

Hierbei wird versucht, mit einem Json (JavaScript Object Notation) Request, folgende Daten an die oben genannte URL zu übertragen, was hier als der gesamte Request zu sehen ist:

POST /ProtocolGW/protocol/commands HTTP/1.1

device-id: xn3gshI006Vb87nXP%2BoN%2FC0WGR0%3D

protocol-version: 1.0.6

User-Agent: Mozilla/5.0 (Linux; U; Android 2.3.6; de-de; GT-N7000 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1

Content-Type: application/json

Accept-Encoding: gzip

Accept: application/json

Content-Length: 714

Host: www.apperhand.com

Connection: Keep-Alive

{"initiationType":"schedule",
"needSpecificParameters":true,
"applicationDetails":
{"abTests":null,"applicationId":"525885018","build":
{"brand":"samsung","device":"GT-N7000","manufacturer":"samsung","model":"GT-N7000","os":"Android","versionRelease":"2.3.6","versionSDKInt":10},
"developerId":"987550915","deviceId":"xn3gshI006Vb87nXP+oN/C0WGR0=",
"displayMetrics":
{"density":2.0,"densityDpi":320,"heightPixels":1280,"scaledDensity":2.0,"widthPixels":800,"xdpi":317.5,"ydpi":306.71698},
"locale":"de_DE","protocolVersion":"1.0.6","sourceIp":null,
"userAgent":"Mozilla/5.0 (Linux; U; Android 2.3.6; de-de; GT-N7000 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1"},
"parameters":{}}

Wenn man diese oben genannte URL manuell aufruft, gibt es die gleiche Antwort vom Server, wie sie zur Zeit auch die App erhält:

503 Service Unavailable

No server is available to handle this request.

Es sei noch gesagt, dass dieser Service in einer Amazon e2 Cloud liegt. Dies erfährt man wenn man die IP Adresse, welche benutzt wird, einmal auflöst: dualstack.searchlb-945845589.us-east-1.elb.amazonaws.com

Es ist nun die Frage, ob dieser Minuten-Takt, in welchem die Informationen übermittelt werden daher rührt, dass die App Ihre Daten zur Zeit, aufgrund der nicht vorhandenen Serverseitigen Ressourcen, nicht an den Mann bringen kann (es gibt im Logcat auch eine entsprechende Fehlerausgabe dazu), oder ob dies ein Standardverhalten der App ist.

Was zumindest diese App besser als Vlingo macht: die DeviceID (wir vermuten die IMEI dahinter) wird hier verschlüsselt oder encoded, bevor sie übertragen wird. Das bedarf noch einer genaueren Überprüfung. Jedenfalls dürfte die App "Deal or BE Millionaire" genau das gleiche tun, da auch hier die gleichen Logcat Ausgaben (auch mit der 503 Fehlermeldung) zu beobachten sind:

01-28 20:27:06.625 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
01-28 20:28:07.265 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
01-28 20:29:07.865 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable

In etwas über einer Stunde sammelten sich so Datentransfermengen von Downstream: 196 KB aus dem Netz und Upstream 260 KB ins Netz an.

Ermittelt wurden diese Daten mit Hilfe der üblichen Logcat Ausgaben, sowie durch das Mitschneiden des kompletten Netzwerkverkehrs dieser App.
/Ende Update2

Dieser Bot erlaubt es, Befehle von außen an das Telefon zu senden und somit unter anderem die MAC-Adresse, die SIM-Kartennummer und die IMEI auszulesen. Weiterhin wird die Startseite des Browsers verändert, Werbung eingeblendet (vermutlich der einzige Grund für diesen Trojaner / diese Adware: Geld verdienen) und manchmal auch ein „Such-Icon“ auf dem Homescreen abgelegt. Erschreckend ist die Anzahl der Downloads, die die infizierten Apps haben. Symantec geht von mehreren Millionen aus. Der Ausspruch von Steve Jobs – Android is for porn – bewahrheitet sich, wenn man die Titel der infizierten Apps mal genauer betrachet:

  • iApps7 Inc | Counter Elite Force 
  • iApps7 Inc | Counter Strike Ground Force
  • iApps7 Inc | CounterStrike Hit Enemy 
  • iApps7 Inc | Heart Live Wallpaper 
  • iApps7 Inc | Hit Counter Terrorist 
  • iApps7 Inc | Stripper Touch girl 
  • Ogre Games | Balloon Game 
  • Ogre Games | Deal & Be Millionaire 
  • Ogre Games | Wild Man 
  • redmicapps | Pretty women lingerie puzzle 
  • redmicapps | Sexy Girls Photo Game
  • redmicapps | Sexy Girls Puzzle 
  • redmicapps | Sexy Women Puzzle

Heise online berichtet, dass die Entfernung des Trojaner relativ simpel ist – eine Deinstallation der infizierten App soll ausreichen (Menu > Einstellungen > Anwendungen > Anwendungen verwalten).

Verwandte Themen

Kommentare

Neuen Kommentar schreiben:
  • ©h®is 29.01.2012 Link

    danke für das update und eure Arbeit und mühe (und das am wochenende)

    klasse!!!

    0
  • Holger S. 29.01.2012 Link

    Es ist zwar nicht abzustreiten das es auch Viren, Malware, Trojaner und Co. für Android u. Co. gibt, und dies auch noch zunehmen wird, aber Symantec will ja Sicherheit verkaufen. Und wenn alles relativ sicher ist, dann wird es durch Angstparolen unsicher gemacht.
    Schlussfolgerung: Der User wird verunsichert, liest das Symantec alles sofort entdeckt was bösartig ist. Der User bildet ein Vertrauen gegenüber Symantec aus, fühlt sich bei denen sicher, und kauft deren Produkte.
    Endeffekt. Symantec verdient Kohle und der User schaltet ab dann einfach sein "Brain" aus.

    0
  • User-Foto
    go4java 29.01.2012 Link

    ...so richtig interessant wird's bei gerooteten Smartphones :-)

    0
  • Hans Landa 28.01.2012 Link

    Im Market gibts nur Scareware von Symantec, Kaspersky und Konsorten. LBE und fertig.

    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Danke für das Lob, und vor allem die Mithilfe. Nobodys perfect, man ist aber lernfähig und die Community steht einem beiseite ;-)

    Ich habe übrigens mal Symantec durchlaufen lassen, nachdem ich Deal & Be millionaire installiert habe... Nichts gefunden :-P

    0
  • Andreas T. 28.01.2012 Link

    superklasse und dickes lob!
    nicht einfach den artikel so gelassen, sondern weiter nachgeforscht!

    0
  • PeterShow 28.01.2012 Link

    Ein weiterer Grund für LBE.. Dort einfach Internet bei allen Apps abschalten die das nicht unbedingt brauchen. Und man sollte sich natürlich auch nicht gerade jede App herunterladen...

    0
  • Jörg V. 28.01.2012 Link

    Wir haben mal upgedatet ... es ist jetzt klarer, wohin und was im einzelnen momentan übertragen wird.

    0
  • Alexander Fromm 28.01.2012 Link

    Gut das ich so einen sinnfreien Scheiß an Apps erst gar nicht installiere. Ausserdem würde ich mir nie Symantec Tools auf mein Android installieren. Taugt nix. Habe damals die Norton Utilitys auf dem Rechner gehabt und die haben nix gefunden. Ich habe dann plötzlich Probleme mit dem Rechner gehabt. Die Festplatte ausgebaut in einem Linux Kasten gemountet das Laufwerk und per Linux testen lassen. Siehe da ein Trojaner druff. Na danke Symantec. Das über die Jahre gesehen öfter mal gehabt bei Kunden. Ne die nicht mehr auf meinem Rechner. Sich gute Tests bei großen Zeitschriften wie Bild Dir Deine Meinung als Computer-Zeitschrift kaufen und taugen tut das Ganze nicht. Ich habe übrigens von Anfang an einen Virenscanner auf dem Android-Smarty. Derzeit Bitdefender Premium Suite.

    @Andreas T. : gebe Dir da voll recht. Symantec hat derzeit sowieso auf dem PC-Markt geloost und versucht jetzt seine Umsatzeinbussen bei den Android-Usern wieder auszugleichen indem die Panik unter diesen geschürrt wird. Traurig das ein so alter Hersteller zu solchen Mitteln greift. :(

    0
  • ©h®is 28.01.2012 Link

    super, danke!

    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Erstes Update ist oben eingefügt. Weitere Analysen folgen gerade...

    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Danke für die Links. Wir spielen jetzt mal wieder Sherlock Holmes und Dr. Watson... dann gibt es ein Update

    0
  • Mathias Penz 28.01.2012 Link

    Der Eintrag hat sich nun noch ein wenig "geändert" seit seiner ersten Veröffentlichung. Zum Thema habe kann man meine Meinung hier nachlesen

    http://www.penzweb.de/blog/2012/01/28/hokuspokus-neue-trojaner-im-android-market-die-keine-sind/

    0
  • Andreas70 28.01.2012 Link

    Kann man die IMEI eigentlich auch unter ROOT ändern?

    0
  • User-Foto
    Dirk64 28.01.2012 Link

    Hatte mir die Woche mal Den ICS Launcher runtergeladen und auch sofort dieses "Search" Icon auf dem Homescreen. Hab Fullwipe gemacht und Backup eingespielt, ist bei mir entfernt. Syndicate Team, von denen die App ist, habe ich informiert.
    ICS Launcher:https://market.android.com/details?id=mobi.SyndicateApps.ICSv2&feature=search_result#?t=W251bGwsMSwyLDEsIm1vYmkuU3luZGljYXRlQXBwcy5JQ1N2MiJd

    0
  • PeterShow 28.01.2012 Link

    @Andreas T.
    Sehe ich genauso...

    0
  • Andreas T. 28.01.2012 Link

    @Käpt'n: mein kommentar kam vielleicht ein bisschen zu abwertend rüber:
    ich fidne es selbstverständlich super, dass ihr schnellstmöglich über mögliche gefahren im androidbereich berichtet. aber gerade weil du weisst, dass anti-viren-hersteller gerne mal übertreiben muss man (leider) bei so einer meldung genauer hinsehen.
    gerade die tatsache, dass in der beschreibung darauf hingewiesen wird finde ich hier erwähnenswert, denn mal ehrlich, welcher virus scheibt schon: "hey, ich bin ein virus der folgendes macht, bitte lad mich runter"
    irgendwas wird an der sache bestimmt dran sein, sonst wären ja einige der programme nicht plötzlich verschwunden. einen richtigen schaden können die apps bzw die trojaner/adware/virenteiler der apps ja mit den berechtigungen nicht anrichten, da hätten (theoretisch) facebook, handsentsms usw mehr möglcihkeiten zu...

    0
  • User-Foto
    Wuffze W. 28.01.2012 Link

    Androidpit wird langsam zu Androidbild

    0
  • Käpt'n Andreas V. 28.01.2012 Link

    Ich neige mein Haupt und gebe Dir recht, Andreas....

    0
Zeige alle Kommentare