Gefälschte Apps

Transcription

Gefälschte Apps
Trend Micro Forschungsbericht
Gefälschte Apps
Legitimität vortäuschen
Symphony Luo and Peter Yan
Mobile Threat Research Team
Trend Micro | Gefälschte Apps
Inhalt
Einleitung........................................................................................................................................3
Gefälschte Apps.............................................................................................................................3
Betrügerische Antivirus-Apps...................................................................................................5
Umpaketierte Apps...................................................................................................................7
Trojanisierte Apps...............................................................................................................7
FAKEBANK Malware..........................................................................................................7
Trojanisierte Spiele-Apps....................................................................................................8
Trojanisierte Instant-Messaging Apps.................................................................................8
Wie Cyberkriminelle Apps trojanisieren..........................................................................................9
SDK-Modifikation......................................................................................................................9
Einfügen von bösartigem Code..............................................................................................11
Missbrauch von Bezahldiensten.......................................................................................11
Datendiebstahl..................................................................................................................13
Herunterladen von Schadsoftware...................................................................................13
Remote-Zugriff und -Kontrolle..........................................................................................14
Schutz vor Deinstallation..................................................................................................16
Zusätzliches Einfügen der .DEX-Datei.............................................................................18
Tools für das Umpaketieren von Apps..........................................................................................20
Umpaketierte Apps und App Stores von Drittanbietern................................................................20
Fazit..............................................................................................................................................22
Referenzen...................................................................................................................................22
Trend Micro | Gefälschte Apps
Einleitung
Mit der steigenden Zahl der Mobilgerätenutzer erhöht sich auch die Zahl der verfügbaren Apps.
Und da Cyberkriminelle immer dort aktiv werden, wo es Geld zu holen gibt, nehmen auch die
Angriffe auf Mobilgeräte und deren Nutzer stetig zu. Auch gibt es immer mehr mobile Bedrohungen,
einschließlich Schadsoftware und gefälschter Apps, die immer schon kurz nach den echten AppVersionen auftauchen.
Dieses Forschungspapier liefert eingehende Informationen zu gefälschten Apps, vor allem
umpaketierten, deren .APK-Dateien so geändert wurden (z.B. durch Einfügen oder Löschen),
dass sie zusätzliche, häufig bösartige Fähigkeiten erhalten.1 Gefälschte Apps haben häufig sehr
ähnliche Nutzerschnittstellen, Icons und Namen wie die App, die sie nachahmen. Sie sind auf
den Sites von Drittanbietern zu finden, in Foren und manchmal auch in offiziellen App Stores wie
Google Play™. Sie stehen lange zum Herunterladen bereit, und zwar bis sie als Schadsoftware
enttarnt werden oder eine Verletzung des Copyrights festgestellt wird. Für die Verbreitung
setzen Cyberkriminelle häufig verschiedene Social Engineering-Taktiken ein, um Nutzer dazu zu
verführen, diese gefälschten Apps herunterzuladen.
Gefälschte Apps
Es hat sich gezeigt, dass von den 50 am häufigsten heruntergeladenen kostenlosen Apps in
Google Play auch in fast 80 % der Fälle gefälschte Versionen vorhanden waren (siehe Bild 1).
Dazu gehören Apps für die geschäftliche Nutzung, Medien & Video sowie Spiele.
Apps mit
gefälschten Versionen 77%
Apps ohne
gefälschte Versionen
23%
Bild 1: Kostenlose Apps mit und ohne gefälschte Versionen in Google Play
Von den Top 10 Apps jeder Kategorie gab es in Google Play von den folgenden auch gefälschte
Versionen (Bild 2):
•
100% der Apps aus der Kategorie Widgets, Medien & Video und Finanzen
•
90% der Apps aus der Kategorie Business, Musik & Audio und Wetter
Trend Micro Forschungsbericht | 3
Trend Micro | Gefälschte Apps
•
Etwa 70% der Apps aus der Kategorie Spiele, Bücher und Lifestyle, Bildschirmhintergrund
•
Etwa 60% der Apps aus der Kategorie Sport und Bildung
•
40% der Apps aus der Kategorie Medizin
Widgets
100%
Media & Video
100%
Lifestyle
100%
Finanzen
100%
Reise & Local
100%
Werkzeuge
100%
Shopping
90%
Business
90%
Musik & Audio
90%
Fotografie
90%
Wetter
90%
Transport
90%
Produckivität
90%
Nachrichten & Magazine 90%
Gesundheit & Fitness
89%
Personalization
80%
Unterhaltung
70%
Spiele
70%
Bücher & Reference
70%
Comics
70%
Kommunikation
70%
Live Wallpaper
70%
Social
70%
Sports
60%
Bildung
60%
Medizin
40%
Bibliotheken & Demo
30%
100%
50%
0
Bild 2: Analyse nach Kategorie der Top-Apps in Google Play
Gefälschte Apps stellten sich eher als hochriskant denn harmlos dar.2 Von den 890.482 Mustern,
die im April dieses Jahres in verschiedenen Quellen entdeckt wurden, waren 59.185 aggressive
Adware und 394.263 Schadsoftware. Mehr als 50 % der gefälschten Apps wurden als bösartig
eingestuft (Bild 3).
bösartig
51%
nicht bösartig
49%
Bild 3: Verhältnis zwischen bösartigen und nicht bösartigen gefälschten Apps
Trend Micro Forschungsbericht | 4
Trend Micro | Gefälschte Apps
Betrügerische Antivirus-Apps
Betrügerische Antivirus-Apps sind wahrscheinlich die am häufigsten anzutreffende
Kategorie in der Landschaft der mobilen Bedrohungen. Anfang 2012 hatten etwa
FAKEAV-Sample Android-Geräte im Visier. 2013 erfolgte ein Ausbruch mobiler FAKEAV
Malware. Ein Beispiel dafür ist ANDROIDOS_FAKEAV.F, als Imitation von Bitdefender®
(Bild 4).3 Die gefälschte App forderte unter Bitdefenders Namen die Opfer auf, die App
mit Administrationsrechten zu installieren. Damit ist die Schadsoftware schwieriger zu
beseitigen. Genauso wie die gefälschten Antivirusprogramme auf Computern täuscht auch
die App das Suchen vor und zeigt gefälschte Infektionen an, um den Nutzer dazu zu
bewegen, die Vollversion zu kaufen.
Bild 4: Screenshots, die die Arbeitsweise von ANDROIDOS_FAKEAV.F zeigen
Ein jüngeres Beispiel einer betrügerischen Antivirus-App “Virus Shield” erhielt eine
4.7 Star-Bewertung, nachdem sie mehr als 10.000 Mal heruntergeladen worden
war, vor allem mit Hilfe von Bots. Google hat die App mittlerweile aus dem Angebot
entfernt.4 Die App konnte mit einem professionell anmutenden Aussehen und den
versprochenen Funktionen, wie das Verhindern der Installation von bösartigen Apps,
Scanning, Settings usw. Tausende Nutzer täuschen. Schließlich wurde sie zu einer
neuen, kostenpflichtigen App in Google Play, mit einem Preis von 3,99 $ (Bild 5, 6).
Eine tiefergehende Analyse zeigte natürlich, dass alle Behauptungen falsch waren und
es sich tatsächlich um einen Betrug handelte.
Trend Micro Forschungsbericht | 5
Trend Micro | Gefälschte Apps
Bild 5: Virus Shields Verkaufsseite in Google Play
Bild 6: Virus Shield wurde zu einer kostenpflichtigen Top-App in
Google Play, bevor sie enttarnt und entfernt wurde
Google entfernte die App ein paar Tage, nachdem sie verfügbar wurde. Es ist jedoch
erstaunlich, wie eine gefälschte App mit Hilfe von guten Bewertungen unter die besten
kostenpflichtigen Apps kommen konnte.
Trend Micro Forschungsbericht | 6
Trend Micro | Gefälschte Apps
Umpaketierte Apps
Das Umpaketieren von Apps mit dem Ziel, sie für bösartige Aktivitäten einzusetzen, wird
Normalität und birgt ein hohes Risiko. Während der letzten paar Jahre haben Cyberkriminelle
Instant Messaging (IM), Spiele und andere Apps umpaketiert, um ihren Opfern Geld aus
der Tasche zu ziehen. 5, 6
Trojanisierte Apps
Trojanisierte Apps sind umpaketierte Programme, die ein bösartiges Verhalten
an den Tag legen. Nicht alle umpaketierten Apps sind bösartig, die trojanisierten
jedoch immer.
FAKEBANK Malware
Anfang Juni 2013 nutzte FAKEBANK- und BANKUN-Schadsoftware den Google
Play-Icon Trick dazu, um Nutzer dazu zu verführen, die Malware herunterzuladen und
auszuführen.7, 8 Diese Schadsoftware entfernte heimlich bestimmte südkoreanische
Banking-Apps und ersetzte sie mit trojanisierten Versionen, über die Cyberkriminelle
Phishing-Angriffe durchführten, um so finanzielle Informationen von ihren Opfern
zu klauen (Bild 7). Es ging um persönliche Daten wie Handynummer, Nutzername,
Passwort, Kontonummer und andere, die geklaut und an einen Remote Server
geschickt wurden.
Bild 7: Screenshots der trojanisierten Version einer südkoreanischen Banking App
Trend Micro Forschungsbericht | 7
Trend Micro | Gefälschte Apps
Trojanisierte Spiele-Apps
Flappy Bird war Anfang 2014 eines
der beliebtesten Android-Spiele.
Es wurde mehr als 50 Millionen
Mal heruntergeladen, bevor seine
Entwickler beschlossen, es aus dem
App Store zu entfernen. Doch das
Interesse daran ließ nicht nach, im
Gegenteil. Cyberkriminelle witterten ihre Chance und lancierten
trojanisierte Versionen davon. 9
Eine dieser Versionen verlangte
das Recht für die Entwickler, dem
Nutzer Textnachrichten schicken
zu dürfen. Damit waren höhere
Kosten verbunden (Bild 8).
Bild 8: Die trojanisierte Version von Flappy
Bird verlangt zusätzliche Berechtigungen
Einige der trojanisierten Versionen hatten eine Bezahlfunktion, die in der
ursprünglichen App nicht vorhanden war. Deshalb wurden sie als “Premium Service
Abuser” eingestuft.10 Sie schickten den Nutzern Nachrichten von Bezahldiensten,
sodass diese zusätzliche Kosten hatten (Bild 9).
Bild 9: Beispiel einer Nachricht über die trojanisierten Versionen von Flappy Bird
Trojanisierte Instant Messaging-Apps
BlackBerry® Messenger (BBM) ist eine der beliebtesten IM-Apps. Nutzer können
mit anderen über mobile Plattformen kommunizieren (etwa Instant Messages
verschicken, anrufen, Bilder teilen und Nachrichten hinterlassen). Inoffizielle Builds
der App wurden verbreitet und verzögerten das Release.
Trend Micro Forschungsbericht | 8
Trend Micro | Gefälschte Apps
Im Juni 2013, bevor BlackBerry die App in Google Play veröffentlichte, wurden
einige trojanisierte BBM-Versionen als FAKEBBM-Varianten identifiziert (Bild 10).11
Cyberkriminelle machten sich die Ungeduld der Anwender zunutze und paketierten
mehr als 100.000 BBM-Apps um. Diese wiesen aggressive Werbenetzwerk-Eigenschaften auf und wurden aus dem Store entfernt.
Bild 10: Google App Download-Seite für gefälschte BBM für Android
Wie Cyberkriminelle Apps trojanisieren
SDK-Modifikation
Einige mobile Apps können heruntergeladen und kostenlos genutzt werden. Manche
Entwickler verdienen damit Geld, über die Apps Werbung an die Nutzer zu pushen.
Cyberkriminelle wiederum fügen ihren Kreationen mobile Werbe-SDKs (Software
Development Kit) hinzu oder ersetzen die bereits vorhandenen. Damit gehen die
Einnahmen an sie statt an den Entwickler.
Fast 65% der analysierten umpaketierten Apps umfasste modifizierte Werbe-SDKs.
Fast 47% dieser Apps enthielten zumindest ein mobiles Werbe-SDK, während 49.42%
zwei bis 19 SDKs umfassten und 3.81% 20 oder mehr nutzten. Dabei bediente jedes
SDK jeweils eine Anzeige.
Trend Micro Forschungsbericht | 9
Trend Micro | Gefälschte Apps
Beispielsweise missbrauchte eine solche trojanisierte App
(FAKEUMG-Variante) im Oktober 2013 ein als „Umeng“
bekanntes SDK.12 Diese bösartige App gewährleistet, dass
ihr Verhalten als Hauptaktivität registriert wird, sodass sie die
Textnachrichten des Opfers abfangen kann (Bild 11).
Bild 11: Code-Struktur
des FAKEUMG-Musters
Wird sie ausgeführt, so fordert sie anders als das tatsächliche Umeng-SDK Werbung
von einer URL an und verschickt heimlich mithilfe des Java Native Interface (JNI)
Textnachrichten von Bezahldiensten. JNI erschwert das Decompilieren und die Analyse
des Codes.13 Auch kann kann es Textnachrichten abfangen, um zu verhindern, dass die
Opfer merken, dass ihre Geräte infiziert sind (Bild 12).
Bild 12: Code, der SMS in der FAKEUMG-Musterumgebung blockiert
Trend Micro Forschungsbericht | 10
Trend Micro | Gefälschte Apps
Einfügen bösartigen Codes
Am häufigsten werden Apps über das Einfügen von bösartigem Code in die Datei
classes.dex trojanisiert. Darüber lassen sich verschiedene Payloads einfügen. Die damit
trojanisierten Apps weisen normalerweise mehr als eine bösartige Verhaltensweise auf.
Missbrauch von Bezahldiensten
Manche trojanisierte Apps senden ohne das Wissen des Benutzers Textnachrichten
an Bezahldienste. Die Apps können auch ankommende Antworten abfangen,
um sicherzustellen, dass die Nutzer nicht merken, dass ihre Mobilgeräte diese
Nachrichten verschicken.
Ein gutes Beispiel dafür ist eine trojanisierte mobile Browser App, die in jeder Version
eine Million Mal heruntergeladen wurde. Der Premium Service Abuser enthielt
im Unterschied zur rechtmäßigen Version ein Paket namens “com.baidu8” (Bild
13). Einige Empfänger, deren App Antworten von den Bezahldiensten abfangen
konnten, waren auch in deren AndroidManifest.xml-Datei aufgelistet. Jede AndroidApp hat eine solche Datei, die die wichtigen Informationen präsentiert, bevor ein
Code ausgeführt werden kann (Bild 14).14
Bild 13: Vergleich der Codestrukturen einer rechtmäßigen und einer
umpaketierten QQ Browser App
Trend Micro Forschungsbericht | 11
Trend Micro | Gefälschte Apps
Bild 14: Modifizierte AndroidManifest.xml-Datei der umpaketierten QQ Browser App
Die bösartige App fragt eine in den Code eingefügte vorgefertigte Liste mit
Telefonnummern ab. Sie wählt bestimmte Nummern und Inhalte von Bezahldiensten aus, abhängig vom Mobilfunkanbieter des Nutzers (Bild 15).
Bild 15: Code in der umpaketierten QQ Browser App, der im Verborgenen
Textnachrichten an Nummern von Bezahldiensten schickt
Die bösartige App registriert auch einen SMS-Emp-fänger, der Textnachrichten
vom Mobilfunkanbieter abfängt, wenn dieser den Nutzer darüber informiert, dass
er eine Nachricht an einen Bezahldienst geschickt hat (Bild 16).
Bild 16: Code in der umpaketierten QQ Browser App, der Textnachrichten
vom Anbieter eines Bezahldienstes blockiert
Trend Micro Forschungsbericht | 12
Trend Micro | Gefälschte Apps
Datendiebstahl
Einige trojanisierte Apps sammeln auch Nutzerinformationen wie Telefonnummern,
Kontaktlisten, Textnachrichten, E-Mail-Adressen, Browser History und installierte
Apps.
Beispielsweise stiehlt eine bösartige App die Kontaktliste eines Nutzers und schickt
die gestohlenen Daten an eine Remote-Site.15 Für den Datendiebstahl wurde ein
SDK namens “zoo.tiger.sdk” in den Code der rechtmäßigen Version eingefügt (Bild
17 und 18). Auch wurden einige Empfänger und Dienste in der AndroidMainifest.
xml-Datei registriert. Während der Ausführung sammelt das SDK die Namen aus
der Kontaktliste des Opfers und schickt diese an eine Remote-Site.
Bild 17: Code, der die Kontaktlisten des Opfers stiehlt
Bild 18: Code, der die Kontaktlisten des Opfers an Angreifer schickt
Schadsoftware-Download
Einige bösartige Apps fügen Download-Code in rechtmäßige Apps ein, sodass
dieser dann klammheimlich andere SDKs herunterlädt, und für das Opfer
zusätzliche Kosten verursacht.
Trend Micro Forschungsbericht | 13
Trend Micro | Gefälschte Apps
Ein Beispiel eines solchen Malware Downloaders ist eine trojanisierte Version einer
beliebten Video-App, die aus Google Play entfernt wurde.
In diese App wurde ein Paket namens “com.zdt.downfile” eingefügt, das einen
Download-Dienst startet, der auf eine Remote-Site zugreift (Bild 19). So können
Cyberkriminelle die App-Listen eines Opfers abgreifen und heimlich bösartige Apps
auf dessen Gerät herunterladen. (Bild 20).
Bild 19: Codestruktur eines
bösartigen Downloaders
Bild 20: Code im bösartigen Downloader, der Schadsoftware herunterlädt
Fernzugriff und -kontrolle
Wer die Fernkontrolle über ein Gerät erlangt, kann bösartige Antworten und/oder
Befehle an einen Remote-C&C-Server senden oder welche von diesen empfangen.
Ein Beispiel dafür ist eine trojanisierte Version von Stupid Birds, in die Code
eingefügt wurde, um auf das infizierte Gerät über eine Remote-URL zuzugreifen,
um Befehle wie den heimlichen Download einer .APK-Datei zu ermöglichen, oder
um einen Shortcut Icon auf den Bildschirm des Opfers zu setzen. Dabei wird bei
jedem Antippen auf eine bösartige Site zugegriffen (Bild 21 und 22).16
Trend Micro Forschungsbericht | 14
Trend Micro | Gefälschte Apps
Bild 21: Code im Remote Controller, der es Angreifern ermöglicht,
die Kontrolle über die Geräte eines Opfers zu erlangen
Bild 22: Code, über den ein Angreifer Befehle an infizierte Geräte senden kann
Trend Micro Forschungsbericht | 15
Trend Micro | Gefälschte Apps
Schutz vor Deinstallation
Manche trojanisierte Apps tarnen sich als Android Device Administrations-API
(Application Programming Interface), um zu vermeiden, deinstalliert zu werden. Ein
Beispiel dafür ist eine trojanisierte Version einer bekannten Bezahl-App in China.17
Die AndroidManifest.xml-Datei enthielt Codeteile, die eine Deinstallation verhinderten (Bild 23).
Bild 23: Modifizierte AndroidManifest.xml-Datei, die verhinderte,
dass die trojanisierte App deinstalliert wurde
Während der Installation sehen die Nutzer einen Prompt für die Aktivierung (Bild 24).
Danach erscheint eine Nachricht, die besagt, dass die Anwendung nicht installiert
werden kann, auch wenn dies bereits geschehen ist (Bild 25).
Bild 25: Optionsseite, die Opfer angezeigt
bekommen, wenn sie die trojanisierte App
deinstallieren wollen
Bild 24: Aktivierungs-Prompt, den Opfer
dieser Art von App zu sehen bekommen
Trend Micro Forschungsbericht | 16
Trend Micro | Gefälschte Apps
Auch verleitet die App die Nutzer dazu, ihre Kontoinformationen anzugeben und
schickt dann die gestohlenen Daten über SMS an Cyberkriminelle (Bild 26).
Bild 26: Code, der die Kontoinformationen stiehlt
Die bösartige App registriert auch einen SMS-Empfänger, der ankommende
Textnachrichten, die den Nutzer vor einer Geräteinfektion warnen könnten (Bild 27).
Bild 27: Code, der Textnachrichten blockiert
Trend Micro Forschungsbericht | 17
Trend Micro | Gefälschte Apps
Zusätzliches Einfügen einer .DEX-Datei
SDK-Modifizierung und das Einfügen bösartigen Codes ändern das Zertifikat
einer .APK-Datei. Wird hingegen eine zusätzliche .DEX-Datei über die Master
Key-Sicherheitslücke hinzugefügt, behalten bösartige Apps ihre ursprünglichen
Zertifikate. Classes.dex-Dateien können bösartigen Code enthalten, der normale
.APK-Dateien infiziert. Trojanisierte Apps laden und führen auf diese Weise
bösartige classes.dex-Dateien aus.
Während der letzten paar Monate wurde verschiedene Schadsoftware auf diese
Weise geändert, einschließlich trojanisierter Versionen von Mobile QQ, YouTube,
Opera und weiterer beliebter Apps.18
Ein Beispiel dafür ist ein weitverbreitetes Spiel, das mehr als ein Million Mal
von Google Play heruntergeladen und als ANDROIDOS_EXPLOITSIGN.HRX
identifiziert wurde.
Der Vergleich mit der Codestruktur der Originalversion zeigt, dass bösartiger
Code in das com.google-Paket und die AndroidManifest.xml-Datei der trojanisierten Version hinzugefügt wurde, sodass ein Empfänger einige Nutzeraktionen
aufzeichnen kann (Bild 28). Dazu gehört das Starten des com.google.
service.MainService, der automatisch weitere Apps von einer bösartigen Site
herunterlädt (Bild 29).
Bild 28: Vergleich der Codestrukturen der classes.dex-Datei einer
legitimen (links) und umpaketierten (rechts) App
Trend Micro Forschungsbericht | 18
Trend Micro | Gefälschte Apps
Bild 29: In die AndroidManifest.xml-Datei eingefügter Code
Während der Ausführung wird eine der Aktionen -- com.google.safemain.
OtherReceiver – die in der der AndroidMainifest.xml-Datei registriert ist, ausgeführt.
Diese startet dann com.google.safemain.MainSevice.
Danach prüft die App, ob ein infiziertes Gerät eine Anti-Malware-App hat. Ist dies
nicht der Fall, startet sie com.google.service.b und com.google.service.c, um die
Kontaktliste des Opfers abzugreifen und diese an die Angreifer zu senden (Bild 30).
Bild 30: Code, der es der App ermöglicht,
die Kontaktlisten eines Opfers zu stehlen
Trend Micro Forschungsbericht | 19
Trend Micro | Gefälschte Apps
Für das Umpaketieren von Apps genutzte Tools
Zu den am häufigsten eingesetzten Tools gehören android-apktool, dex2jar, jd-gui und ded.19, 20, 21, 22
Diese Tools haben legitime Einsatzzwecke. Da sie Open Source sind, können Cyberkriminelle sie
dazu missbrauchen, um bösartige Apps zu erstellen.
Entwickler können auch Tools nutzen, die automatisch Apps umpaketieren, abhängig von
ihrem Bedarf. Zu dieser Art von Apps gehören back2smali.jar und AXMLPrinter.jar.23, 24 Diese
Tools haben legitime Einsatzzwecke und werden aber auch missbraucht.
Umpaketierte Apps und Third-Party App Stores
Verschiedene ThirdParty App Stores vertreiben umpaketierte Apps, von denen einige auch
trojanisiert sind (Bild 31). In die meisten umpaketierten Apps sind aggressive Werbemodule
eingefügt worden, die als Remote-Control-Backdoors agieren können, und somit ein hohes
Risikopotenzial bergen.
Bild 31: Screenshots der App Stores von Drittanbietern, die
umpaketierte Versionen beliebter Apps anbieten
Aus den App Stores mancher Drittanbieter können mehr als 500 OPFAKE-Varianten
heruntergeladen werden.25 Die bereits erwähnten trojanisierten Flappy Bird-Versionen sind
ein Beispiel dafür. Sie enthielten nicht nur potenziell bösartigen Werbungs-Code, sondern
missbrauchten auch Bezahldienste, um von nichtsahnenden Nutzern zu profitieren.
Trend Micro Forschungsbericht | 20
Trend Micro | Gefälschte Apps
Viele App Stores von Drittanbietern in China offerieren immer noch umpaketierte und zum Teil
trojanisierte Apps (Bild 32).
Bild 32: Screenshot eines chinesischen Drittanbieter Apps Store,
der trojanisierte Apps im Angebot hat
In bestimmten Foren werden mobile Bot- und Builder-Quellcodes angeboten, die das Umpaketieren
mobiler Apps mit verschiedener Konfiguration automatisieren. Viele Cyberkriminelle handeln auch
mit mobilen Botnets, die sie auf Tagesbasis anbieten (Bild 33).
Bild 33: Beispiel eines Crimeware-Angebots
in einem Forum
Trend Micro Forschungsbericht | 21
Trend Micro | Gefälschte Apps
Fazit
Es ist für App-Entwickler und Stores schwierig, sich vollständig vor den negativen Auswirkungen
des Umpaketierens zu schützen. Sie könnten versuchen, komplexe Dateikapselungs- und
-verschlüsselungstechniken einzusetzen, um Cyberkriminelle davon abzuhalten, die Apps neu zu
paketieren. App Stores sind gut beraten, strenge Regeln und Audits für den Download ihrer Apps
einzuführen. Beispielsweise sollte es Entwicklern verboten sein, eine App zum Herunterladen
einzustellen, die einer bereits vorhandenen sehr ähnlich sieht – nicht nur im Aussehen sondern
auch in Bezug auf den Code. Google Play hat eine solche Regel bereits eingeführt.
Um sich vor allen Arten mobiler Bedrohungen, einschließlich gefälschter Apps, zu schützen,
sollten Anwender ihre Apps nur von vertrauenswürdigen Sites herunterladen. Auch der Einsatz
einer effizienten Sicherheitslösung wie Trend Micro Mobile Security for Android ist zu empfehlen.26
Referenzen
1. Trend Micro Mobile Threat Information Hub “Malware in Apps’ Clothing:
A Look at Repackaged Apps.”,
http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2014-04-malwarein-apps-clothing.
2. Trend Micro Mobile Threat Information Hub “Malicious and High-Risk Android Apps Hit 1
Million: Where Do We Go from Here?”
http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-10-maliciousand-high-risk-android-apps-hit-1-million.
3. Threat Encyclopedia “ANDROIDOS_FAKEAV.F.”
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEAV.F.
4. Ryan W. Neal. (April 7, 2014) International Business Times. “Google Removes Top App:
‘Virus Shield’ Scams Thousands, Exposes Flaw in Android Ecosystem”
http://www.ibtimes.com/google-removes-top-app-virus-shield-scams-thousands-exposesflaw-android-ecosystem-1568362.
5. Noriaki Hayashi. (July 18, 2013) TrendLabs Security Intelligence Blog. “KakaoTalk
Targeted by Fake and Trojanized Apps”
http://blog.trendmicro.com/trendlabs-security-intelligence/kakaotalk-targeted-by-fakeand-trojanized-apps/
6. Ruby Santos. (July 23, 2013) TrendLabs Security Intelligence Blog. “Cybercriminals
Capitalize on Plants vs. Zombies 2 Hype”
http://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-capitalize-onplant-vs- zombies-2-hype/.
7. Trend Micro (2014) Threat Encyclopedia “ANDROIDOS_FAKEBANK.A.”
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEBANK.A.
8. Trend Micro Mobile Threat Information Hub. “A Look at Mobile Banking Threats”
http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobilebanking-threats
Trend Micro Forschungsbericht | 22
Trend Micro | Gefälschte Apps
9. Veo Zhang. (February 11, 2014). TrendLabs Security Intelligence Blog “Betrügerische
Flappy Bird-App als Ersatz für das Original”
http://blog.trendmicro.de/betruegerische-flappy-bird-app-als-ersatz-fuer-das-original/
10.Trend Micro Mobile Threat Information Hub “The High Cost of Premium Service Abusers.”
http://about-threats.trendmicro.com/us/infographics/infograph/the-high-cost-of-premiumservice-abusers
11.Rich Trenholm. (June 24, 2013) CNET “Fake BBM Android App Fools Thousands,
Google Pulls It”
http://www.cnet.com/news/fake-bbm-android-app-fools-thousands-google-pulls-it/
12.Threat Encyclopedia “ANDROIDOS_FAKEUMG.CAT”
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_FAKEUMG.CAT
13.Oracle Java SE Documentation “Java Native Interface
http://docs.oracle.com/javase/7/docs/technotes/guides/jni/
14.Android Developers “App Manifest”
http://developer.android.com/guide/topics/manifest/manifest-intro.html
15.Threat Encyclopedia “ANDROIDOS_SMSPAY.HNTA”
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_SMSPAY.HNTA
16.Threat Encyclopedia “ANDROIDOS_ZDTDOWN.HBT”
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_ZDTDOWN.HBT
17.Threat Encyclopedia. “ANDROIDOS_SPAMBOT.HBT”
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_SPAMBOT.HBT
18.Peter Yan (August 2, 2013) TrendLabs Security Intelligence Blog “Master Key Android
Vulnerability Used to Trojanize Banking App”
http://blog.trendmicro.com/trendlabs-security-intelligence/master-key-androidvulnerability-used-to-trojanize-banking-app/
19.Android-apktool https://code.google.com/p/android- apktool/
20.Dex2jar https://code.google.com/p/dex2jar/
21.Innlab https://code.google.com/p/innlab/downloads/detail?name=jd-gui-0.3.3.windows.zip&
22.SIIS Lab (2014) Systems and Internet Infrastructure Security “ded: Decompiling Android
Applications” http://siis.cse.psu.edu/ded/
23.Smali https://code.google.com/p/smali/
24.Android4me
https://code.google.com/p/android4me/downloads/detail?name=AXMLPrinter.jar&can=4&q=
25.Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_OPFAKE.E.”
Last accessed June 20, 2014,
http://about-threats.trendmicro.com/us/malware/ANDROIDOS_OPFAKE.E.
26.Trend Micro Mobile Security for Mobile Devices
http://www.trendmicro.de/privatanwender/loesungen-fuer-mobilgeraete/index.html
Trend Micro Forschungsbericht | 23
HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine
Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf
alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine
Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen
zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und
ohne Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unter­stützung gedacht. Die Genauigkeit der Übersetzung wird weder garan­tiert
noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments
in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf
Compliance oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument im angemessenen Um­fang um die Bereitstellung genauer und aktueller Informationen, über­nimmt
jedoch hinsichtlich Genauigkeit, Aktualität und Voll­ständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr
Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine
Gewährleistung, weder ausdrücklich noch still­schweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung
dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden,
entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Un­möglichkeit der Verwendung oder
in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser
Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar.
Über TREND MICRO
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler
Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloudbasierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller
und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend
Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im
Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen
mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
http://www.trendmicro.de/
http://blog.trendmicro.de/
http://www.twitter.com/TrendMicroDE
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Germany
Tel. +49 (0) 811 88990–700
Fax +49 (0) 811 88990–799
TREND MICRO Schweiz GmbH
Schaffhauserstrasse 104
8152 Glattbrugg
Switzerland
Tel. +41 (0) 44 82860–80
Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL
World Trade Center
Avenue Gratta-Paille 2
1018 Lausanne
Switzerland
www.trendmicro.com
©2014 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro
Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.