Warnung vor schädlichen Google Play-Anwendungen

Eingebetteten ausführbaren Windows-Binärdateien können aber nur auf Windows-Systemen ausgeführt werden

[datensicherheit.de, 01.08.2018] Palo Alto Networks, meldet mehrfach eine Reihe von Google-Spiele-Apps, die mit schädlichen Iframes infiziert sind. Nun melden die IT-Sicherheitsexperten  ähnliche Fälle bei Google Play. Es handelt sich um 145 Google Play-Anwendungen, die mit schädlichen Microsoft Windows-Executable-Dateien infiziert sind.

Schadprogramme auf Android-Systemen unwirksam

Die infizierten APK-Dateien (Android Package) stellen keine direkte Bedrohung für Android-Geräte dar, da diese eingebetteten ausführbaren Windows-Binärdateien nur auf Windows-Systemen ausgeführt werden können. Auf der Android-Plattform sind sie unwirksam. Die Tatsache, dass diese APK-Dateien infiziert sind, zeigt, dass die Entwickler die Software auf kompromittierten Windows-Systemen erstellt haben, die mit Malware infiziert sind. Diese Art der Infektion ist eine Bedrohung für die Softwarelieferkette (Software Supply Chain), da sich die Kompromittierung von Softwareentwicklern mehrfach schon als effektive Taktik für groß angelegte Angriffe erwiesen hat. Beispiele hierfür sind KeRanger, XcodeGhost und NotPetya.

Mitarbeiter von Palo Alto Networks entdeckten eine Mischung aus infizierten und nicht infizierten Anwendungen derselben Entwickler. Der Grund dafür könnte sein, dass die Entwickler unterschiedliche Entwicklungsumgebungen für verschiedene Anwendungen verwendet haben.

Einige der infizierten Apps sind „Learn to Draw Clothing“, eine App, die das Zeichnen und Entwerfen von Kleidung beibringt, „Modification Trail“, eine App, die Ideen für die Modifizierung von Trailbikes zeigt und „Gymnastics Training Tutorial“, eine App für Gymnastikbewegungen. Unter diesen infizierten Anwendungen kann eine APK-Datei mehrere gefährliche PE-Dateien an verschiedenen Orten mit unterschiedlichen Dateinamen enthalten.

Die Experten fanden heraus, dass es eine PE-Datei (Portable Executable) gibt, die die meisten Android-Anwendungen infiziert. Die bösartige Aktivität ist die Schlüsselprotokollierung.  Auf einem Windows-System versucht ein Keylogger, Tastenanschläge zu protokollieren, die sensible Informationen wie Kreditkartennummern, Sozialversicherungsnummern und Passwörter enthalten können. Außerdem täuschen diese Dateien ihre Namen vor, um Legitimität vorzutäuschen. Solche Namen sind „Android.exe“, „my music.exe“, „COPY_DOKKEP.exe“, „js.exe“, „gallery.exe“, „images.exe“, „msn.exe“ und „css.exe“.

Während der WildFire-Analyse von Palo Alto Networks zeigten die untersuchten bösartigen PE-Dateien die folgenden verdächtigen Aktivitäten, wenn sie auf einem Windows-System ausgeführt werden:

• Erstellung von ausführbaren und versteckte Dateien in Windows-Systemordnern, einschließlich des Kopierens der PE-Datei selbst.
• Änderung der Windows-Registrierung, damit die PE-Datei nach dem Neustart automatisch startet.
• Versuche, über einen längeren Zeitraum zu ruhen.
• Verdächtige Netzwerkverbindungsaktivitäten zur IP-Adresse 87.98.185.184 über Port 8829

Die schädlichen PE-Dateien können nicht direkt auf den Android-Hosts ausgeführt werden. Eine Bedrohung besteht jedoch in folgenden Fällen: wenn die APK-Datei auf einem Windows-Rechner entpackt wird und die PE-Dateien versehentlich ausgeführt werden; wenn die Entwickler auch Windows-basierte Software ausgeben; oder wenn die Entwickler mit bösartigen Dateien infiziert sind, die auf Android-Plattformen ausgeführt werden können.

Das Unternehmen hat seine Erkenntnisse dem Google Security Team gemeldet, welches als Reaktion alle bekannten infizierten Anwendungen mittlerweile aus Google Play entfernt hat.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Malware im Google Play Store entdeckt

datensicherheit.de, 01.06.2017
Judy: Check Point meldet Malware-Entdeckung im Google Play Store