(Bild: Symantec.com)
Die Beliebtheit von Android hat auch ihre Schattenseiten: Es wird zum Ziel von zwielichtigen Gestalten, die den Market - der leider überhaupt nicht überwacht wird – mit schädlichen Apps überhäufen.
Symantec – ein Hersteller von Antivirus-Software – hat nun einen Bot Namens Counterclank in mehreren Spiele-Apps entdeckt.
Update: Es handelt es sich nicht um einen Trojaner. Der Prozess com.apperhand (der im Zusammenhang genannt wird), steht in Verbindung mit einem Werbenetzwerk. In wie weit dieses Daten sendet, prüfen wir gerade. Aktueller Stand: Minütlich werden Daten übermittelt. Welcher Art prüfen wir gerade.
Update 2: Wir sind uns jetzt einig, dass es sich bei der Meldung von Symantec nicht um einen Trojaner handelt. Im Zuge der Recherchen ist uns bei dem genannten Service/Prozess com.apperhand doch was interessantes aufgefallen.
Der von der App "Balloon Spiel" von "Ogre Games" instanziierte Service sendet im Minuten-Takt unverschlüsselt an die URL: http://www.apperhand.com/ProtocolGW/protocol/commands
Hierbei wird versucht, mit einem Json (JavaScript Object Notation) Request, folgende Daten an die oben genannte URL zu übertragen, was hier als der gesamte Request zu sehen ist:
POST /ProtocolGW/protocol/commands HTTP/1.1
device-id: xn3gshI006Vb87nXP%2BoN%2FC0WGR0%3D
protocol-version: 1.0.6
User-Agent: Mozilla/5.0 (Linux; U; Android 2.3.6; de-de; GT-N7000 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Content-Type: application/json
Accept-Encoding: gzip
Accept: application/json
Content-Length: 714
Host: www.apperhand.com
Connection: Keep-Alive
{"initiationType":"schedule",
"needSpecificParameters":true,
"applicationDetails":
{"abTests":null,"applicationId":"525885018","build":
{"brand":"samsung","device":"GT-N7000","manufacturer":"samsung","model":"GT-N7000","os":"Android","versionRelease":"2.3.6","versionSDKInt":10},
"developerId":"987550915","deviceId":"xn3gshI006Vb87nXP+oN/C0WGR0=",
"displayMetrics":
{"density":2.0,"densityDpi":320,"heightPixels":1280,"scaledDensity":2.0,"widthPixels":800,"xdpi":317.5,"ydpi":306.71698},
"locale":"de_DE","protocolVersion":"1.0.6","sourceIp":null,
"userAgent":"Mozilla/5.0 (Linux; U; Android 2.3.6; de-de; GT-N7000 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1"},
"parameters":{}}
Wenn man diese oben genannte URL manuell aufruft, gibt es die gleiche Antwort vom Server, wie sie zur Zeit auch die App erhält:
503 Service Unavailable
No server is available to handle this request.
Es sei noch gesagt, dass dieser Service in einer Amazon e2 Cloud liegt. Dies erfährt man wenn man die IP Adresse, welche benutzt wird, einmal auflöst: dualstack.searchlb-945845589.us-east-1.elb.amazonaws.com
Es ist nun die Frage, ob dieser Minuten-Takt, in welchem die Informationen übermittelt werden daher rührt, dass die App Ihre Daten zur Zeit, aufgrund der nicht vorhandenen Serverseitigen Ressourcen, nicht an den Mann bringen kann (es gibt im Logcat auch eine entsprechende Fehlerausgabe dazu), oder ob dies ein Standardverhalten der App ist.
Was zumindest diese App besser als Vlingo macht: die DeviceID (wir vermuten die IMEI dahinter) wird hier verschlüsselt oder encoded, bevor sie übertragen wird. Das bedarf noch einer genaueren Überprüfung. Jedenfalls dürfte die App "Deal or BE Millionaire" genau das gleiche tun, da auch hier die gleichen Logcat Ausgaben (auch mit der 503 Fehlermeldung) zu beobachten sind:
01-28 20:27:06.625 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
01-28 20:28:07.265 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
01-28 20:29:07.865 E/b (15712): com.apperhand.device.a.d.f: sendPost error HTTP/1.1 503 Service Unavailable
In etwas über einer Stunde sammelten sich so Datentransfermengen von Downstream: 196 KB aus dem Netz und Upstream 260 KB ins Netz an.
Ermittelt wurden diese Daten mit Hilfe der üblichen Logcat Ausgaben, sowie durch das Mitschneiden des kompletten Netzwerkverkehrs dieser App.
/Ende Update2
Dieser Bot erlaubt es, Befehle von außen an das Telefon zu senden und somit unter anderem die MAC-Adresse, die SIM-Kartennummer und die IMEI auszulesen. Weiterhin wird die Startseite des Browsers verändert, Werbung eingeblendet (vermutlich der einzige Grund für diesen Trojaner / diese Adware: Geld verdienen) und manchmal auch ein „Such-Icon“ auf dem Homescreen abgelegt. Erschreckend ist die Anzahl der Downloads, die die infizierten Apps haben. Symantec geht von mehreren Millionen aus. Der Ausspruch von Steve Jobs – Android is for porn – bewahrheitet sich, wenn man die Titel der infizierten Apps mal genauer betrachet:
- iApps7 Inc | Counter Elite Force
- iApps7 Inc | Counter Strike Ground Force
- iApps7 Inc | CounterStrike Hit Enemy
- iApps7 Inc | Heart Live Wallpaper
- iApps7 Inc | Hit Counter Terrorist
- iApps7 Inc | Stripper Touch girl
- Ogre Games | Balloon Game
- Ogre Games | Deal & Be Millionaire
- Ogre Games | Wild Man
- redmicapps | Pretty women lingerie puzzle
- redmicapps | Sexy Girls Photo Game
- redmicapps | Sexy Girls Puzzle
- redmicapps | Sexy Women Puzzle
Heise online berichtet, dass die Entfernung des Trojaner relativ simpel ist – eine Deinstallation der infizierten App soll ausreichen (Menu > Einstellungen > Anwendungen > Anwendungen verwalten).
Dennis F.
Ganz an mir vorbei gegangen, Danke Kapt'n ;-)