Gefälschte Apps
Transcription
Gefälschte Apps
Trend Micro Forschungsbericht Gefälschte Apps Legitimität vortäuschen Symphony Luo and Peter Yan Mobile Threat Research Team Trend Micro | Gefälschte Apps Inhalt Einleitung........................................................................................................................................3 Gefälschte Apps.............................................................................................................................3 Betrügerische Antivirus-Apps...................................................................................................5 Umpaketierte Apps...................................................................................................................7 Trojanisierte Apps...............................................................................................................7 FAKEBANK Malware..........................................................................................................7 Trojanisierte Spiele-Apps....................................................................................................8 Trojanisierte Instant-Messaging Apps.................................................................................8 Wie Cyberkriminelle Apps trojanisieren..........................................................................................9 SDK-Modifikation......................................................................................................................9 Einfügen von bösartigem Code..............................................................................................11 Missbrauch von Bezahldiensten.......................................................................................11 Datendiebstahl..................................................................................................................13 Herunterladen von Schadsoftware...................................................................................13 Remote-Zugriff und -Kontrolle..........................................................................................14 Schutz vor Deinstallation..................................................................................................16 Zusätzliches Einfügen der .DEX-Datei.............................................................................18 Tools für das Umpaketieren von Apps..........................................................................................20 Umpaketierte Apps und App Stores von Drittanbietern................................................................20 Fazit..............................................................................................................................................22 Referenzen...................................................................................................................................22 Trend Micro | Gefälschte Apps Einleitung Mit der steigenden Zahl der Mobilgerätenutzer erhöht sich auch die Zahl der verfügbaren Apps. Und da Cyberkriminelle immer dort aktiv werden, wo es Geld zu holen gibt, nehmen auch die Angriffe auf Mobilgeräte und deren Nutzer stetig zu. Auch gibt es immer mehr mobile Bedrohungen, einschließlich Schadsoftware und gefälschter Apps, die immer schon kurz nach den echten AppVersionen auftauchen. Dieses Forschungspapier liefert eingehende Informationen zu gefälschten Apps, vor allem umpaketierten, deren .APK-Dateien so geändert wurden (z.B. durch Einfügen oder Löschen), dass sie zusätzliche, häufig bösartige Fähigkeiten erhalten.1 Gefälschte Apps haben häufig sehr ähnliche Nutzerschnittstellen, Icons und Namen wie die App, die sie nachahmen. Sie sind auf den Sites von Drittanbietern zu finden, in Foren und manchmal auch in offiziellen App Stores wie Google Play™. Sie stehen lange zum Herunterladen bereit, und zwar bis sie als Schadsoftware enttarnt werden oder eine Verletzung des Copyrights festgestellt wird. Für die Verbreitung setzen Cyberkriminelle häufig verschiedene Social Engineering-Taktiken ein, um Nutzer dazu zu verführen, diese gefälschten Apps herunterzuladen. Gefälschte Apps Es hat sich gezeigt, dass von den 50 am häufigsten heruntergeladenen kostenlosen Apps in Google Play auch in fast 80 % der Fälle gefälschte Versionen vorhanden waren (siehe Bild 1). Dazu gehören Apps für die geschäftliche Nutzung, Medien & Video sowie Spiele. Apps mit gefälschten Versionen 77% Apps ohne gefälschte Versionen 23% Bild 1: Kostenlose Apps mit und ohne gefälschte Versionen in Google Play Von den Top 10 Apps jeder Kategorie gab es in Google Play von den folgenden auch gefälschte Versionen (Bild 2): • 100% der Apps aus der Kategorie Widgets, Medien & Video und Finanzen • 90% der Apps aus der Kategorie Business, Musik & Audio und Wetter Trend Micro Forschungsbericht | 3 Trend Micro | Gefälschte Apps • Etwa 70% der Apps aus der Kategorie Spiele, Bücher und Lifestyle, Bildschirmhintergrund • Etwa 60% der Apps aus der Kategorie Sport und Bildung • 40% der Apps aus der Kategorie Medizin Widgets 100% Media & Video 100% Lifestyle 100% Finanzen 100% Reise & Local 100% Werkzeuge 100% Shopping 90% Business 90% Musik & Audio 90% Fotografie 90% Wetter 90% Transport 90% Produckivität 90% Nachrichten & Magazine 90% Gesundheit & Fitness 89% Personalization 80% Unterhaltung 70% Spiele 70% Bücher & Reference 70% Comics 70% Kommunikation 70% Live Wallpaper 70% Social 70% Sports 60% Bildung 60% Medizin 40% Bibliotheken & Demo 30% 100% 50% 0 Bild 2: Analyse nach Kategorie der Top-Apps in Google Play Gefälschte Apps stellten sich eher als hochriskant denn harmlos dar.2 Von den 890.482 Mustern, die im April dieses Jahres in verschiedenen Quellen entdeckt wurden, waren 59.185 aggressive Adware und 394.263 Schadsoftware. Mehr als 50 % der gefälschten Apps wurden als bösartig eingestuft (Bild 3). bösartig 51% nicht bösartig 49% Bild 3: Verhältnis zwischen bösartigen und nicht bösartigen gefälschten Apps Trend Micro Forschungsbericht | 4 Trend Micro | Gefälschte Apps Betrügerische Antivirus-Apps Betrügerische Antivirus-Apps sind wahrscheinlich die am häufigsten anzutreffende Kategorie in der Landschaft der mobilen Bedrohungen. Anfang 2012 hatten etwa FAKEAV-Sample Android-Geräte im Visier. 2013 erfolgte ein Ausbruch mobiler FAKEAV Malware. Ein Beispiel dafür ist ANDROIDOS_FAKEAV.F, als Imitation von Bitdefender® (Bild 4).3 Die gefälschte App forderte unter Bitdefenders Namen die Opfer auf, die App mit Administrationsrechten zu installieren. Damit ist die Schadsoftware schwieriger zu beseitigen. Genauso wie die gefälschten Antivirusprogramme auf Computern täuscht auch die App das Suchen vor und zeigt gefälschte Infektionen an, um den Nutzer dazu zu bewegen, die Vollversion zu kaufen. Bild 4: Screenshots, die die Arbeitsweise von ANDROIDOS_FAKEAV.F zeigen Ein jüngeres Beispiel einer betrügerischen Antivirus-App “Virus Shield” erhielt eine 4.7 Star-Bewertung, nachdem sie mehr als 10.000 Mal heruntergeladen worden war, vor allem mit Hilfe von Bots. Google hat die App mittlerweile aus dem Angebot entfernt.4 Die App konnte mit einem professionell anmutenden Aussehen und den versprochenen Funktionen, wie das Verhindern der Installation von bösartigen Apps, Scanning, Settings usw. Tausende Nutzer täuschen. Schließlich wurde sie zu einer neuen, kostenpflichtigen App in Google Play, mit einem Preis von 3,99 $ (Bild 5, 6). Eine tiefergehende Analyse zeigte natürlich, dass alle Behauptungen falsch waren und es sich tatsächlich um einen Betrug handelte. Trend Micro Forschungsbericht | 5 Trend Micro | Gefälschte Apps Bild 5: Virus Shields Verkaufsseite in Google Play Bild 6: Virus Shield wurde zu einer kostenpflichtigen Top-App in Google Play, bevor sie enttarnt und entfernt wurde Google entfernte die App ein paar Tage, nachdem sie verfügbar wurde. Es ist jedoch erstaunlich, wie eine gefälschte App mit Hilfe von guten Bewertungen unter die besten kostenpflichtigen Apps kommen konnte. Trend Micro Forschungsbericht | 6 Trend Micro | Gefälschte Apps Umpaketierte Apps Das Umpaketieren von Apps mit dem Ziel, sie für bösartige Aktivitäten einzusetzen, wird Normalität und birgt ein hohes Risiko. Während der letzten paar Jahre haben Cyberkriminelle Instant Messaging (IM), Spiele und andere Apps umpaketiert, um ihren Opfern Geld aus der Tasche zu ziehen. 5, 6 Trojanisierte Apps Trojanisierte Apps sind umpaketierte Programme, die ein bösartiges Verhalten an den Tag legen. Nicht alle umpaketierten Apps sind bösartig, die trojanisierten jedoch immer. FAKEBANK Malware Anfang Juni 2013 nutzte FAKEBANK- und BANKUN-Schadsoftware den Google Play-Icon Trick dazu, um Nutzer dazu zu verführen, die Malware herunterzuladen und auszuführen.7, 8 Diese Schadsoftware entfernte heimlich bestimmte südkoreanische Banking-Apps und ersetzte sie mit trojanisierten Versionen, über die Cyberkriminelle Phishing-Angriffe durchführten, um so finanzielle Informationen von ihren Opfern zu klauen (Bild 7). Es ging um persönliche Daten wie Handynummer, Nutzername, Passwort, Kontonummer und andere, die geklaut und an einen Remote Server geschickt wurden. Bild 7: Screenshots der trojanisierten Version einer südkoreanischen Banking App Trend Micro Forschungsbericht | 7 Trend Micro | Gefälschte Apps Trojanisierte Spiele-Apps Flappy Bird war Anfang 2014 eines der beliebtesten Android-Spiele. Es wurde mehr als 50 Millionen Mal heruntergeladen, bevor seine Entwickler beschlossen, es aus dem App Store zu entfernen. Doch das Interesse daran ließ nicht nach, im Gegenteil. Cyberkriminelle witterten ihre Chance und lancierten trojanisierte Versionen davon. 9 Eine dieser Versionen verlangte das Recht für die Entwickler, dem Nutzer Textnachrichten schicken zu dürfen. Damit waren höhere Kosten verbunden (Bild 8). Bild 8: Die trojanisierte Version von Flappy Bird verlangt zusätzliche Berechtigungen Einige der trojanisierten Versionen hatten eine Bezahlfunktion, die in der ursprünglichen App nicht vorhanden war. Deshalb wurden sie als “Premium Service Abuser” eingestuft.10 Sie schickten den Nutzern Nachrichten von Bezahldiensten, sodass diese zusätzliche Kosten hatten (Bild 9). Bild 9: Beispiel einer Nachricht über die trojanisierten Versionen von Flappy Bird Trojanisierte Instant Messaging-Apps BlackBerry® Messenger (BBM) ist eine der beliebtesten IM-Apps. Nutzer können mit anderen über mobile Plattformen kommunizieren (etwa Instant Messages verschicken, anrufen, Bilder teilen und Nachrichten hinterlassen). Inoffizielle Builds der App wurden verbreitet und verzögerten das Release. Trend Micro Forschungsbericht | 8 Trend Micro | Gefälschte Apps Im Juni 2013, bevor BlackBerry die App in Google Play veröffentlichte, wurden einige trojanisierte BBM-Versionen als FAKEBBM-Varianten identifiziert (Bild 10).11 Cyberkriminelle machten sich die Ungeduld der Anwender zunutze und paketierten mehr als 100.000 BBM-Apps um. Diese wiesen aggressive Werbenetzwerk-Eigenschaften auf und wurden aus dem Store entfernt. Bild 10: Google App Download-Seite für gefälschte BBM für Android Wie Cyberkriminelle Apps trojanisieren SDK-Modifikation Einige mobile Apps können heruntergeladen und kostenlos genutzt werden. Manche Entwickler verdienen damit Geld, über die Apps Werbung an die Nutzer zu pushen. Cyberkriminelle wiederum fügen ihren Kreationen mobile Werbe-SDKs (Software Development Kit) hinzu oder ersetzen die bereits vorhandenen. Damit gehen die Einnahmen an sie statt an den Entwickler. Fast 65% der analysierten umpaketierten Apps umfasste modifizierte Werbe-SDKs. Fast 47% dieser Apps enthielten zumindest ein mobiles Werbe-SDK, während 49.42% zwei bis 19 SDKs umfassten und 3.81% 20 oder mehr nutzten. Dabei bediente jedes SDK jeweils eine Anzeige. Trend Micro Forschungsbericht | 9 Trend Micro | Gefälschte Apps Beispielsweise missbrauchte eine solche trojanisierte App (FAKEUMG-Variante) im Oktober 2013 ein als „Umeng“ bekanntes SDK.12 Diese bösartige App gewährleistet, dass ihr Verhalten als Hauptaktivität registriert wird, sodass sie die Textnachrichten des Opfers abfangen kann (Bild 11). Bild 11: Code-Struktur des FAKEUMG-Musters Wird sie ausgeführt, so fordert sie anders als das tatsächliche Umeng-SDK Werbung von einer URL an und verschickt heimlich mithilfe des Java Native Interface (JNI) Textnachrichten von Bezahldiensten. JNI erschwert das Decompilieren und die Analyse des Codes.13 Auch kann kann es Textnachrichten abfangen, um zu verhindern, dass die Opfer merken, dass ihre Geräte infiziert sind (Bild 12). Bild 12: Code, der SMS in der FAKEUMG-Musterumgebung blockiert Trend Micro Forschungsbericht | 10 Trend Micro | Gefälschte Apps Einfügen bösartigen Codes Am häufigsten werden Apps über das Einfügen von bösartigem Code in die Datei classes.dex trojanisiert. Darüber lassen sich verschiedene Payloads einfügen. Die damit trojanisierten Apps weisen normalerweise mehr als eine bösartige Verhaltensweise auf. Missbrauch von Bezahldiensten Manche trojanisierte Apps senden ohne das Wissen des Benutzers Textnachrichten an Bezahldienste. Die Apps können auch ankommende Antworten abfangen, um sicherzustellen, dass die Nutzer nicht merken, dass ihre Mobilgeräte diese Nachrichten verschicken. Ein gutes Beispiel dafür ist eine trojanisierte mobile Browser App, die in jeder Version eine Million Mal heruntergeladen wurde. Der Premium Service Abuser enthielt im Unterschied zur rechtmäßigen Version ein Paket namens “com.baidu8” (Bild 13). Einige Empfänger, deren App Antworten von den Bezahldiensten abfangen konnten, waren auch in deren AndroidManifest.xml-Datei aufgelistet. Jede AndroidApp hat eine solche Datei, die die wichtigen Informationen präsentiert, bevor ein Code ausgeführt werden kann (Bild 14).14 Bild 13: Vergleich der Codestrukturen einer rechtmäßigen und einer umpaketierten QQ Browser App Trend Micro Forschungsbericht | 11 Trend Micro | Gefälschte Apps Bild 14: Modifizierte AndroidManifest.xml-Datei der umpaketierten QQ Browser App Die bösartige App fragt eine in den Code eingefügte vorgefertigte Liste mit Telefonnummern ab. Sie wählt bestimmte Nummern und Inhalte von Bezahldiensten aus, abhängig vom Mobilfunkanbieter des Nutzers (Bild 15). Bild 15: Code in der umpaketierten QQ Browser App, der im Verborgenen Textnachrichten an Nummern von Bezahldiensten schickt Die bösartige App registriert auch einen SMS-Emp-fänger, der Textnachrichten vom Mobilfunkanbieter abfängt, wenn dieser den Nutzer darüber informiert, dass er eine Nachricht an einen Bezahldienst geschickt hat (Bild 16). Bild 16: Code in der umpaketierten QQ Browser App, der Textnachrichten vom Anbieter eines Bezahldienstes blockiert Trend Micro Forschungsbericht | 12 Trend Micro | Gefälschte Apps Datendiebstahl Einige trojanisierte Apps sammeln auch Nutzerinformationen wie Telefonnummern, Kontaktlisten, Textnachrichten, E-Mail-Adressen, Browser History und installierte Apps. Beispielsweise stiehlt eine bösartige App die Kontaktliste eines Nutzers und schickt die gestohlenen Daten an eine Remote-Site.15 Für den Datendiebstahl wurde ein SDK namens “zoo.tiger.sdk” in den Code der rechtmäßigen Version eingefügt (Bild 17 und 18). Auch wurden einige Empfänger und Dienste in der AndroidMainifest. xml-Datei registriert. Während der Ausführung sammelt das SDK die Namen aus der Kontaktliste des Opfers und schickt diese an eine Remote-Site. Bild 17: Code, der die Kontaktlisten des Opfers stiehlt Bild 18: Code, der die Kontaktlisten des Opfers an Angreifer schickt Schadsoftware-Download Einige bösartige Apps fügen Download-Code in rechtmäßige Apps ein, sodass dieser dann klammheimlich andere SDKs herunterlädt, und für das Opfer zusätzliche Kosten verursacht. Trend Micro Forschungsbericht | 13 Trend Micro | Gefälschte Apps Ein Beispiel eines solchen Malware Downloaders ist eine trojanisierte Version einer beliebten Video-App, die aus Google Play entfernt wurde. In diese App wurde ein Paket namens “com.zdt.downfile” eingefügt, das einen Download-Dienst startet, der auf eine Remote-Site zugreift (Bild 19). So können Cyberkriminelle die App-Listen eines Opfers abgreifen und heimlich bösartige Apps auf dessen Gerät herunterladen. (Bild 20). Bild 19: Codestruktur eines bösartigen Downloaders Bild 20: Code im bösartigen Downloader, der Schadsoftware herunterlädt Fernzugriff und -kontrolle Wer die Fernkontrolle über ein Gerät erlangt, kann bösartige Antworten und/oder Befehle an einen Remote-C&C-Server senden oder welche von diesen empfangen. Ein Beispiel dafür ist eine trojanisierte Version von Stupid Birds, in die Code eingefügt wurde, um auf das infizierte Gerät über eine Remote-URL zuzugreifen, um Befehle wie den heimlichen Download einer .APK-Datei zu ermöglichen, oder um einen Shortcut Icon auf den Bildschirm des Opfers zu setzen. Dabei wird bei jedem Antippen auf eine bösartige Site zugegriffen (Bild 21 und 22).16 Trend Micro Forschungsbericht | 14 Trend Micro | Gefälschte Apps Bild 21: Code im Remote Controller, der es Angreifern ermöglicht, die Kontrolle über die Geräte eines Opfers zu erlangen Bild 22: Code, über den ein Angreifer Befehle an infizierte Geräte senden kann Trend Micro Forschungsbericht | 15 Trend Micro | Gefälschte Apps Schutz vor Deinstallation Manche trojanisierte Apps tarnen sich als Android Device Administrations-API (Application Programming Interface), um zu vermeiden, deinstalliert zu werden. Ein Beispiel dafür ist eine trojanisierte Version einer bekannten Bezahl-App in China.17 Die AndroidManifest.xml-Datei enthielt Codeteile, die eine Deinstallation verhinderten (Bild 23). Bild 23: Modifizierte AndroidManifest.xml-Datei, die verhinderte, dass die trojanisierte App deinstalliert wurde Während der Installation sehen die Nutzer einen Prompt für die Aktivierung (Bild 24). Danach erscheint eine Nachricht, die besagt, dass die Anwendung nicht installiert werden kann, auch wenn dies bereits geschehen ist (Bild 25). Bild 25: Optionsseite, die Opfer angezeigt bekommen, wenn sie die trojanisierte App deinstallieren wollen Bild 24: Aktivierungs-Prompt, den Opfer dieser Art von App zu sehen bekommen Trend Micro Forschungsbericht | 16 Trend Micro | Gefälschte Apps Auch verleitet die App die Nutzer dazu, ihre Kontoinformationen anzugeben und schickt dann die gestohlenen Daten über SMS an Cyberkriminelle (Bild 26). Bild 26: Code, der die Kontoinformationen stiehlt Die bösartige App registriert auch einen SMS-Empfänger, der ankommende Textnachrichten, die den Nutzer vor einer Geräteinfektion warnen könnten (Bild 27). Bild 27: Code, der Textnachrichten blockiert Trend Micro Forschungsbericht | 17 Trend Micro | Gefälschte Apps Zusätzliches Einfügen einer .DEX-Datei SDK-Modifizierung und das Einfügen bösartigen Codes ändern das Zertifikat einer .APK-Datei. Wird hingegen eine zusätzliche .DEX-Datei über die Master Key-Sicherheitslücke hinzugefügt, behalten bösartige Apps ihre ursprünglichen Zertifikate. Classes.dex-Dateien können bösartigen Code enthalten, der normale .APK-Dateien infiziert. Trojanisierte Apps laden und führen auf diese Weise bösartige classes.dex-Dateien aus. Während der letzten paar Monate wurde verschiedene Schadsoftware auf diese Weise geändert, einschließlich trojanisierter Versionen von Mobile QQ, YouTube, Opera und weiterer beliebter Apps.18 Ein Beispiel dafür ist ein weitverbreitetes Spiel, das mehr als ein Million Mal von Google Play heruntergeladen und als ANDROIDOS_EXPLOITSIGN.HRX identifiziert wurde. Der Vergleich mit der Codestruktur der Originalversion zeigt, dass bösartiger Code in das com.google-Paket und die AndroidManifest.xml-Datei der trojanisierten Version hinzugefügt wurde, sodass ein Empfänger einige Nutzeraktionen aufzeichnen kann (Bild 28). Dazu gehört das Starten des com.google. service.MainService, der automatisch weitere Apps von einer bösartigen Site herunterlädt (Bild 29). Bild 28: Vergleich der Codestrukturen der classes.dex-Datei einer legitimen (links) und umpaketierten (rechts) App Trend Micro Forschungsbericht | 18 Trend Micro | Gefälschte Apps Bild 29: In die AndroidManifest.xml-Datei eingefügter Code Während der Ausführung wird eine der Aktionen -- com.google.safemain. OtherReceiver – die in der der AndroidMainifest.xml-Datei registriert ist, ausgeführt. Diese startet dann com.google.safemain.MainSevice. Danach prüft die App, ob ein infiziertes Gerät eine Anti-Malware-App hat. Ist dies nicht der Fall, startet sie com.google.service.b und com.google.service.c, um die Kontaktliste des Opfers abzugreifen und diese an die Angreifer zu senden (Bild 30). Bild 30: Code, der es der App ermöglicht, die Kontaktlisten eines Opfers zu stehlen Trend Micro Forschungsbericht | 19 Trend Micro | Gefälschte Apps Für das Umpaketieren von Apps genutzte Tools Zu den am häufigsten eingesetzten Tools gehören android-apktool, dex2jar, jd-gui und ded.19, 20, 21, 22 Diese Tools haben legitime Einsatzzwecke. Da sie Open Source sind, können Cyberkriminelle sie dazu missbrauchen, um bösartige Apps zu erstellen. Entwickler können auch Tools nutzen, die automatisch Apps umpaketieren, abhängig von ihrem Bedarf. Zu dieser Art von Apps gehören back2smali.jar und AXMLPrinter.jar.23, 24 Diese Tools haben legitime Einsatzzwecke und werden aber auch missbraucht. Umpaketierte Apps und Third-Party App Stores Verschiedene ThirdParty App Stores vertreiben umpaketierte Apps, von denen einige auch trojanisiert sind (Bild 31). In die meisten umpaketierten Apps sind aggressive Werbemodule eingefügt worden, die als Remote-Control-Backdoors agieren können, und somit ein hohes Risikopotenzial bergen. Bild 31: Screenshots der App Stores von Drittanbietern, die umpaketierte Versionen beliebter Apps anbieten Aus den App Stores mancher Drittanbieter können mehr als 500 OPFAKE-Varianten heruntergeladen werden.25 Die bereits erwähnten trojanisierten Flappy Bird-Versionen sind ein Beispiel dafür. Sie enthielten nicht nur potenziell bösartigen Werbungs-Code, sondern missbrauchten auch Bezahldienste, um von nichtsahnenden Nutzern zu profitieren. Trend Micro Forschungsbericht | 20 Trend Micro | Gefälschte Apps Viele App Stores von Drittanbietern in China offerieren immer noch umpaketierte und zum Teil trojanisierte Apps (Bild 32). Bild 32: Screenshot eines chinesischen Drittanbieter Apps Store, der trojanisierte Apps im Angebot hat In bestimmten Foren werden mobile Bot- und Builder-Quellcodes angeboten, die das Umpaketieren mobiler Apps mit verschiedener Konfiguration automatisieren. Viele Cyberkriminelle handeln auch mit mobilen Botnets, die sie auf Tagesbasis anbieten (Bild 33). Bild 33: Beispiel eines Crimeware-Angebots in einem Forum Trend Micro Forschungsbericht | 21 Trend Micro | Gefälschte Apps Fazit Es ist für App-Entwickler und Stores schwierig, sich vollständig vor den negativen Auswirkungen des Umpaketierens zu schützen. Sie könnten versuchen, komplexe Dateikapselungs- und -verschlüsselungstechniken einzusetzen, um Cyberkriminelle davon abzuhalten, die Apps neu zu paketieren. App Stores sind gut beraten, strenge Regeln und Audits für den Download ihrer Apps einzuführen. Beispielsweise sollte es Entwicklern verboten sein, eine App zum Herunterladen einzustellen, die einer bereits vorhandenen sehr ähnlich sieht – nicht nur im Aussehen sondern auch in Bezug auf den Code. Google Play hat eine solche Regel bereits eingeführt. Um sich vor allen Arten mobiler Bedrohungen, einschließlich gefälschter Apps, zu schützen, sollten Anwender ihre Apps nur von vertrauenswürdigen Sites herunterladen. Auch der Einsatz einer effizienten Sicherheitslösung wie Trend Micro Mobile Security for Android ist zu empfehlen.26 Referenzen 1. Trend Micro Mobile Threat Information Hub “Malware in Apps’ Clothing: A Look at Repackaged Apps.”, http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2014-04-malwarein-apps-clothing. 2. Trend Micro Mobile Threat Information Hub “Malicious and High-Risk Android Apps Hit 1 Million: Where Do We Go from Here?” http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-10-maliciousand-high-risk-android-apps-hit-1-million. 3. Threat Encyclopedia “ANDROIDOS_FAKEAV.F.” http://about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEAV.F. 4. Ryan W. Neal. (April 7, 2014) International Business Times. “Google Removes Top App: ‘Virus Shield’ Scams Thousands, Exposes Flaw in Android Ecosystem” http://www.ibtimes.com/google-removes-top-app-virus-shield-scams-thousands-exposesflaw-android-ecosystem-1568362. 5. Noriaki Hayashi. (July 18, 2013) TrendLabs Security Intelligence Blog. “KakaoTalk Targeted by Fake and Trojanized Apps” http://blog.trendmicro.com/trendlabs-security-intelligence/kakaotalk-targeted-by-fakeand-trojanized-apps/ 6. Ruby Santos. (July 23, 2013) TrendLabs Security Intelligence Blog. “Cybercriminals Capitalize on Plants vs. Zombies 2 Hype” http://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-capitalize-onplant-vs- zombies-2-hype/. 7. Trend Micro (2014) Threat Encyclopedia “ANDROIDOS_FAKEBANK.A.” http://about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEBANK.A. 8. Trend Micro Mobile Threat Information Hub. “A Look at Mobile Banking Threats” http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobilebanking-threats Trend Micro Forschungsbericht | 22 Trend Micro | Gefälschte Apps 9. Veo Zhang. (February 11, 2014). TrendLabs Security Intelligence Blog “Betrügerische Flappy Bird-App als Ersatz für das Original” http://blog.trendmicro.de/betruegerische-flappy-bird-app-als-ersatz-fuer-das-original/ 10.Trend Micro Mobile Threat Information Hub “The High Cost of Premium Service Abusers.” http://about-threats.trendmicro.com/us/infographics/infograph/the-high-cost-of-premiumservice-abusers 11.Rich Trenholm. (June 24, 2013) CNET “Fake BBM Android App Fools Thousands, Google Pulls It” http://www.cnet.com/news/fake-bbm-android-app-fools-thousands-google-pulls-it/ 12.Threat Encyclopedia “ANDROIDOS_FAKEUMG.CAT” http://about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEUMG.CAT 13.Oracle Java SE Documentation “Java Native Interface http://docs.oracle.com/javase/7/docs/technotes/guides/jni/ 14.Android Developers “App Manifest” http://developer.android.com/guide/topics/manifest/manifest-intro.html 15.Threat Encyclopedia “ANDROIDOS_SMSPAY.HNTA” http://about-threats.trendmicro.com/us/malware/ANDROIDOS_SMSPAY.HNTA 16.Threat Encyclopedia “ANDROIDOS_ZDTDOWN.HBT” http://about-threats.trendmicro.com/us/malware/ANDROIDOS_ZDTDOWN.HBT 17.Threat Encyclopedia. “ANDROIDOS_SPAMBOT.HBT” http://about-threats.trendmicro.com/us/malware/ANDROIDOS_SPAMBOT.HBT 18.Peter Yan (August 2, 2013) TrendLabs Security Intelligence Blog “Master Key Android Vulnerability Used to Trojanize Banking App” http://blog.trendmicro.com/trendlabs-security-intelligence/master-key-androidvulnerability-used-to-trojanize-banking-app/ 19.Android-apktool https://code.google.com/p/android- apktool/ 20.Dex2jar https://code.google.com/p/dex2jar/ 21.Innlab https://code.google.com/p/innlab/downloads/detail?name=jd-gui-0.3.3.windows.zip& 22.SIIS Lab (2014) Systems and Internet Infrastructure Security “ded: Decompiling Android Applications” http://siis.cse.psu.edu/ded/ 23.Smali https://code.google.com/p/smali/ 24.Android4me https://code.google.com/p/android4me/downloads/detail?name=AXMLPrinter.jar&can=4&q= 25.Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_OPFAKE.E.” Last accessed June 20, 2014, http://about-threats.trendmicro.com/us/malware/ANDROIDOS_OPFAKE.E. 26.Trend Micro Mobile Security for Mobile Devices http://www.trendmicro.de/privatanwender/loesungen-fuer-mobilgeraete/index.html Trend Micro Forschungsbericht | 23 HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Über TREND MICRO Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloudbasierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE TREND MICRO Deutschland GmbH Zeppelinstrasse 1 85399 Hallbergmoos Germany Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799 TREND MICRO Schweiz GmbH Schaffhauserstrasse 104 8152 Glattbrugg Switzerland Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81 TREND MICRO (SUISSE) SÀRL World Trade Center Avenue Gratta-Paille 2 1018 Lausanne Switzerland www.trendmicro.com ©2014 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.