Panikmache oder ernstzunehmende Gefahr? Google entfernt Schadsoftware aus dem Market

[Lion13]

Der Spagat zwischen Panikmache und seriöser Berichterstattung ist nicht immer einfach - auf so gut wie allen Internet-Seiten, die sich mit IT-Technik im allgemeinen und Android im besonderen befassen, kursiert seit einigen Stunden die Meldung, daß Google auf Initiative des Blogs androidpolice.com 21 Apps eines Entwicklers namens Myournet aus dem Market entfernt hat. Die Apps sollen ein Exploit namens RageAgainstTheCage enthalten; dieses ist schon seit längerem bekannt und nutzt angeblich eine bislang nur in Android 2.3 "Gingerbread" gefixte Lücke im Android-Dienst "adbd", um sich darüber Root-Rechte zu verschaffen. Damit ist es theoretisch möglich, weitere Schadcode unbemerkt aus dem Internet nachzuladen und zu installieren. Alle Versionen vor Android 2.3 sollen verwundbar sein; insgesamt sollen schon über 50.000 Nutzer die betroffenen Apps heruntergeladen haben - perfiderweise nutzt der Entwickler fast identische Namen wie im Market sehr erfolgreiche Apps, beispielsweise "Super Guitar Solo", das Vorbild heißt "Guitar Solo Lite". Auf androidpolice heißt es, daß Google schon 5 Minuten (!) nach der Meldung durch den Blog diese Apps aus dem Market entfernt habe; möglicherweise wird Google nach Prüfung der Vorgänge auch von der Möglichkeit Gebrauch machen, diese Schadsoftware per "Fernwartung" von den Geräten, die diese installiert haben, zu löschen.
Wie eingangs erwähnt: Wir möchten hier keinesfalls Ängste schüren, aber unerwähnt sollte ein solcher Vorfall auch nicht bleiben. Daß eine Meldung dieser Art Wasser auf die Mühlen der Hersteller von Antiviren-Lösungen ist (die Sicherheitsfirma Lookout meldete auch sofort, daß nicht nur 21, sondern 50 Apps von mehreren Entwicklern betroffen seien...), versteht sich von selbst. Hier muß jeder User selbst entscheiden, wie er mit dem Wissen über mögliche Schädlinge umgeht. Mit der immer stärker werdenden Verbreitung von Android ist aber davon auszugehen, daß die Plattform auch für die Programmierer von Trojanern & Co. immer interessanter wird.

(Original und Fälschung: links die Orignal-App "Guitar Solo Lite", rechts die verseuchte Variante "Super Guitar Solo")
​

Diskussion zum Beitrag

Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...ernzugriff.33059.html?highlight=Schadsoftware
https://www.android-hilfe.de/forum/...nden-ein-risiko.77544.html?highlight=Trojaner
https://www.android-hilfe.de/forum/...rowser-entdeckt.57039.html?highlight=Trojaner

Quellen: androidpolice.com, heise.de

 

[Lion13]

Bei den xda-devs ist ein schneller Patch entwickelt worden, der zumindest für User mit Root-Rechten eine Infektion mit dem Trojaner verhindern kann: Denn es ist verblüffend einfach - es muß lediglich im Ordner /system/bin/ eine leere Datei mit Namen profile erstellt werden, die Permissions müssen auf 644 gesetzt werden. Dies ist mit Hilfe eines root-fähigen Dateimanagers problemlos machbar, alternativ kann man die als Attachment beigefügte .zip-Datei per Recovery flashen (sie macht genau das gleiche).

Alternativ kann man auch in einem Terminal-Fenster oder per adb-Shell folgende Befehle eingeben:

$ su
su
# remount rw
Remounting /system (/dev/stl9) in read/write mode
# touch /system/bin/profile
# chmod 644 /system/bin/profile
#

Desweiteren gibt es inzwischen auch einen Patch, der über den Market geladen werden kann: https://market.android.com/details?id=com.voilaweb.mobile.droiddreamkiller


Hier auch eine Liste mit den verseuchten, im Market inzwischen gelöschten Apps:
* Falling Down
* Super Guitar Solo
* Super History Eraser
* Photo Editor
* Super Ringtone Maker
* Super Sex Positions
* Hot Sexy Videos
* Chess
* 下坠滚球_Falldown
* Hilton Sex Sound
* Screaming Sexy Japanese Girls
* Falling Ball Dodge
* Scientific Calculator
* Dice Roller
* 躲避弹球
* Advanced Currency Converter
* App Uninstaller
* 几何战机_PewPew
* Funny Paint
* Spider Man
* 蜘蛛侠


Die Sicherheitsfirma Lookout will noch mehr Apps von zwei weiteren Entwicklern "Kingmail2010" und "we20090202":

* Bowling Time
* Advanced Barcode Scanner
* Supre Bluetooth Transfer
* Task Killer Pro
* Music Box
* Sexy Girls: Japanese
* Sexy Legs
* Advanced File Manager
* Magic Strobe Light
* 致命绝色美腿
* 墨水坦克Panzer Panic
* 裸奔先生Mr. Runner
* 软件强力卸载
* Advanced App to SD
* Super Stopwatch & Timer
* Advanced Compass Leveler
* Best password safe
* 掷骰子
* 多彩绘画
* Finger Race
* Piano
* Bubble Shoot
* Advanced Sound Manager
* Magic Hypnotic Spiral
* Funny Face
* Color Blindness Test
* Tie a Tie
* Quick Notes
* Basketball Shot Now
* Quick Delete Contacts
* Omok Five in a Row
* Super Sexy Ringtones
* 大家来找茬
* 桌上曲棍球
* 投篮高手

 

[Lion13]

Laut Meldungen von heise.de nutzt Google jetzt die sog. "Remote Removal Funktion", um auf betroffenen Geräten mit OS-Versionen unterhalb von Android 2.2.2 die evtl. installierten Apps zu entfernen und das Exploit rückgängig zu machen; dies geschieht mit einem "Android Market security update", ebenfalls auf den betroffenen Geräten. Besitzer solcher Smartphones/Tablets erhalten laut Aussage des Google Mobile Blog innerhalb von 72 Stunden eine EMail, die über diese Maßnahmen informiert; und es wird auch Benachrichtigungen geben, daß Apps entfernt wurden. Google kündigt dort außerdem an, am Android Market Änderungen solcher Art durchzuführen, daß eine zukünftige "Infektion" mit ähnlicher Schadsoftware nicht mehr möglich sein wird. Im übrigen wurden sowohl die Accounts der Entwickler, die die verseuchten Apps in den Market gebracht hatten, gelöscht sowie rechtliche Schritte eingeleitet.

Weitere Infos: Heise.de, Google Mobile Blog

 

[Melkor]

Laut übereinstimmenden Presseberichten sollen insgesamt 260.000 Geräte mit Malware verseucht worden sein.

Quelle: Bestätigt: Google löscht schädliche Apps aus der Ferne von Android-Handys - Security | News | ZDNet.de

 

[Lion13]

Ziemlich dreist: Wie schon berichtet verteilt Google per Fernwartung eine App namens "Android Market security update" auf diejenigen Geräte, die von dem Trojaner DroidDreams befallen sind; dieser Patch erlangt Root-Rechte, löscht den Trojaner und sorgt dafür, daß eine weitere Infektion verhindert wird. Die betroffenen User werden per Mail informiert. Nun haben "findige" Kriminelle (vermutlich in China) dieses Security-Update mit einem neuen Trojaner versehen und stellen die App auf diversen Download-Seiten für Ungeduldige bereit, die nicht auf das Rollout von Google warten wollen...
Zwar ist für diese manuelle Installation die Option "Unbekannte Quellen zulassen" explizit notwendig, diese Einstellung werden aber nicht wenige Android-Besitzer gewählt haben, die z.B. Apps aus diversen alternativen Märkten am PC downloaden und dann per Hand installieren. Mißtrauisch sollte man natürlich werden, da das verseuchte Update-Tool das Recht einfordert, SMS zu versenden - mit dem damit verbundenen Hinweis, daß dies Geld kosten kann. Man kann also nur darauf hoffen, daß die Besitzer von Androiden, die eine der über 50 infizierten Apps (die ja von Google schnell aus dem Market entfernt wurden) installiert hatten, nicht die Geduld verlieren!

Quellen: heise.de, androidcentral.com