Sicherheitsforscher haben in Googles Play Store über 800 Android-Apps gefunden, die die Xavier-Malware enthielten. Die Apps wurden Millionen Mal aus dem Store heruntergeladen.
Anzeige
Irgendwie war Google doch mal angetreten, dass Android und dessen Apps besonders sicher sein sollten, speziell, wenn sie aus dem Google Play Store heruntergeladen wurden. Denn Google überprüft die Apps ja angeblich auf Schadsoftware.
Die Xavier-Malware
Bei der Malware Xavier handelt es sich um eine sogenannte AD-Bibliothek (ad library) aus der Familie der AdDown-Schadroutinen. Die Bibliothek sorgt auf infizierten Geräten dafür, dass dem Benutzer Werbung angezeigt wird. Zudem sammelt die Malware persönliche Daten der Opfer und installiert im Hintergrund Apps auf dem befallenen Gerät. Die Malware wurde erstmals im September 2016 gesichtet.
Werbefinanzierte Android-Apps
Aktuell ist es so, dass 90 % der Android-Apps kostenlos zum Download, auch über den Google Play Store, angeboten werden. Zur Finanzierung der Entwicklung binden die Entwickler Werbung in den Apps ein. Das wird von den Benutzer auch akzeptiert. In der Regel ist dies auch kein Problem, wenn dadurch die Kernfunktionalität der App nicht verändert wird. Meist kommt die Ads Library des Android SDK zum Einsatz. Zum Problem wird das Ganze, wenn Dritt-Bibliotheken mit unbekannten Funktionen eingesetzt werden.
Trend Micro entdecken Xavier in über 800 Apps
Laut Sicherheitsforschern von Trend Micro kommen viele Android-Apps (vom Foto-Editor über Klingelton-Apps bis hin zu Apps zur Lautstärkekontrolle), die im Google Play Store angeboten werden, mit der Xaview Ad-Bibliothek daher. Die vorherigen Versionen der Xavier Ad Library zeigten nur Werbung an, konnten aber auch andere APK-Dateien im Hintergrund installieren. Die neue Variante der Xavier-Malware hat es aber in sich.
- Evade Detection: Xavier erkennt, wenn der Code analysiert werden soll und in einer kontrollierten Umgebung (Emulator) läuft. Dann werden Daten und Kommunikation verschlüsselt.
- Remote Code Execution: Die Malware kann neuen Code von Remote Command & Control (C&C) Servern nachladen, so dass alle möglichen Schweinereien auf den Zielgeräten angestellt werden können.
- Info-Stealing Module: Xavier ist inzwischen so konfiguriert, dass Benutzer- und Gerätedaten wie die E-Mail-Adresse, die Geräte-ID, die OS-Version, das Land, der Gerätehersteller, der SIM-Kartenanbieter, die Auflösung des Displays und die installierten Apps übertragen werden.
Trend Micro gibt an, dass der größte Teil der Infektionen wohl Nutzer in Südost-Asien (Vietnam, Philippinen, Indonesien) betrifft. In den USA und Europa gibt es weniger Infektionen. Weitere Details lassen sich in diesem Trend Micro Blog-Beitrag sowie bei Hacker News nachlesen.
2015
Ich erinnere immer wieder an den Ziegelstein, der einem auf den Kopf fallen kann. Also Vorsicht ist geboten beim durch die Straßen laufen.
Besonders Straßen in Südostasien sind zu meiden, hier tritt das Phänomen seltener auf.
Und nicht unter einer aufgestellten Leiter durchgehen. ;-)
Mich ärgert extrem,dass Südostasien immer negativ bewertet wird. Ich bin Diplom-Ingenieur ( seit 2012 Rentner ) und habe bis 2011 diese Länder oft besucht. NO PROBLEM!
In Deutschland gibt es deutlich mehr Erkennungsprobleme. Manchmal muss man auch im digitalen Zeitalter Position bekennen.
Nun ja, Südostasien ist einerseits eine Boom-Region und viele unserer Elektronik-Komponenten kommen aus dieser Ecke.
Aber es ist nicht zu verkennen, dass in einigen Ländern dort unten die anerkannten Sicherheitsregeln aus Deutschland nicht wirklich übernommen und eingehalten wurden (wenn ich mich auch nicht bzgl. Ziegelstein – war allerdings Anfang der 90er Jahre dort unten – nicht beklagen kann).
Bezüglich Software ist es schon so, dass dort die meisten Raubkopien und auch die meisten Malware-Infektionen zu verzeichnen sind.