Es wurde vom Sicherheitsanbieter Check Point eine Schadsoftware für Android entdeckt, die über den offiziellen Google Play Store verteilt wurde.

Sie wird HummingWhale genannt und ihre wichtigste Aufgabe ist es, betrügerische Werbeanzeigen zu verbreiten. Der Nachfolger von HummingBad ist laut den Forschern sorgar noch effektiver als die alte Version, die im vergangenen Jahr mehr als 10 Millionen Geräte infizierte.

Im Play Store wurden die mehr als 20 mit HummingWhale infizierten Apps mehrere Millionen Mal heruntergeladen. Unter anderem war der Schadcode in den Kamera-Apps für Android integriert. Diese sind inzwischen nicht mehr in Googles Marktplatz verfügbar.

Check Point wurde aufmerksam, da das Verhalten der App beim Start fragwürdig war. Durch eine genauere Analyse wurde festgestellt, dass eine mit 1,3 MByte große verschlüsselte Grafik-Datei mit dem Namen „assets/group.png“ existierte, die den eigentlichen Schadcode enthält.

Von den gefährlichen Apps wurde die Installationsdatei als sogenannter Dropper verwendet, der weitere Apps herunterlädt und installiert. Dieser Dropper nutzt ein Plug-in von Qihoo 360, um auf eine virtuelle Maschine betrügerische Apps zu laden. Dadurch konnte auf einem Android-Gerät ohne zusätziche Rechte ein Rootkit wie HummingBad eingerichtet werden. Gefährliche Aktivitäten wurden zudem getarnt, um die Sicherheitsvorkehrungen des Play Store umgehen zu können. HummingWhale konnte so, ohne ein Gerät zu überlasten, eine Vielzahl von Apps installieren.

Die Cyberkriminellen haben von HummingBad das Einblenden der Werbeanzeigen übernommen. Wie erfolgreich sie damit waren, teilte Check Point nicht mit. Dem Entwickler des Anzeigennetzwerks Yingmob soll HummingBad mehr als 300.000 Dollar monatlich eingebracht haben.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE