8 Android-Apps im Play Store mit Sockbot Malware gefunden

Erneuter Fund von mit Malware versehener Apps im Google Play Store. Dieses Mal waren acht Apps mit einer Malware, die die Geräte in ein Botnet integriert, betroffen.


Anzeige

Entdeckt haben diese Apps Sicherheitsforscher von Symantec am 11. Oktober 2017, die das Ganze in diesem Blog-Beitrag publiziert haben. Laut Symantec wird die Android-Malware als Android. Sockbot erkannt. Es handelt sich um einen Trojaner für Android, der einen SOCKS-Proxy auf befallenen Geräten erzeugt.

SockBot-Trojaner(Quelle: Symantec)

Die Apps fanden sich in Google Play ausgibt, wobei Symantec schreibt, dass man mindestens acht solcher Apps identifiziert habe. Diese besitzen eine Installationsbasis von 600.000 bis 2,6 Millionen Geräte. Die Malware wird mit Assassins Skins-Paketen verteilt und meldet sich mit folgendem Icon auf dem Android-Gerät. Die Apps geben vor, Character in Minecraft (Pocket Edition) zu modifizieren. Im Hintergrund führt der Trojaner dann seine Aktivitäten aus. Der Publisher der App ist der Entwickler FunBaster. Die Apps fordern folgende Berechtigungen an:

  • Access location information, such as Cell-ID or Wi-Fi
  • Access information about networks
  • Access information about the Wi-Fi state
  • Open network connections
  • Read from external storage devices
  • Check the phone's current state
  • Start once the device has finished booting
  • Display alerts
  • Make the phone vibrate
  • Write to external storage devices

Nach der Installation lässt sich der Trojaner zur Generierung von Werbeeinnahmen über eingeblendete Anzeigen verwenden. Die App stellt dazu eine Verbindung zu einem Command-and-Control-Server (C&C) auf Port 9001 her, um Befehle zu empfangen. Der C&C-Server fordert die App auf, einen Socket mit SOCKS zu öffnen und auf eine Verbindung von einer angegebenen IP-Adresse auf einem bestimmten Port zu warten.

Eine Verbindung kommt von der angegebenen IP-Adresse auf dem angegebenen Port und es wird ein Befehl zum Verbinden mit einem Zielserver ausgegeben. Die App stellt eine Verbindung zum angeforderten Zielserver her und erhält eine Liste der Anzeigen und die dazugehörigen Metadaten (Anzeigentyp, Name der Bildschirmgröße). Mit dem gleichen SOCKS-Proxy-Mechanismus wird der App befohlen, sich mit einem Anzeigenserver zu verbinden und Anzeigenanforderungen zu starten.

Aber es gibt keinen Code, um die Werbung auch anzuzeigen. Symantec vermutet daher, dass die Trojaner die Geräte zu einem Botnetz zusammen schalten sollten, um DDoS-Angriffe durchzuführen. Diese Malware richtet sich in erster Linie an Anwender in den USA, ist aber auch in Russland, der Ukraine, Brasilien und Deutschland präsent. Weitere Details lassen sich dem Symantec-Beitrag entnehmen.

(via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.