Das Geschäft mit der Angst

Da ich seit neustem Besitzer eines Mobile Devices mit Android bin, hab ich mich kundig gemacht, in welcher Form “Gefahren” bei der Benutzung von Android und den Apps dafür gibt.

Bei meiner Recherche  bin ich über folgenden Beitrag gestolpert, die ich einer seits sehr witzig fand, aber auch sehr informativ:

Android Malware Abzocke – Ein Selbstversuch

von Tobias E. 

 

„Jede fünfte Android App greift auf private Daten zu“ sagt eine Studie. Im Forum häufen sich Anfragen nach Anti-Virus Software und Methoden wie man sich gegen Malware absichern kann. Fachzeitschriften berichten über Virenscanner die uns bei der Bekämpfung der Bedrohung helfen

 

Wie schlimm ist es wirklich? Wie kann man sich schützen? Um den Feind zu besiegen muss man ihn verstehen denkt sich der Autor, und begibt sich furchtlos in die Untiefen der Android Malware Abzocke. Wie es ihm ergeht, lest ihr hier.
Warnung: Ein guter Journalist überprüft alle Fakten die er schreibt, kontaktiert Beteiligte um Aussagen zu verifizieren, und stellt sicher dass er alle denkbaren Blickwinkel auf das behandelte Thema berücksichtigt. Ich bin kein Journalist. Ich überprüfe keine Medienartikel. Ich bin nur auf der Suche nach Malware.

Warum?

„Jede fünfte Android App greift auf private Daten zu“ steht im Blog. Jede fünfte App! Das sind höhere Trefferchancen als beim Überraschungsei auf eine der begehrten Sammelfiguren zu stoßen.

Seit 2007 programmiere ich für Android (ja, so lange gibt’s das schon als Beta). Seit Anfang 2009 habe ich auch ein Android Telefon. Von daher würde ich aus rein technischem Interesse gerne mal sehen wie so eine Malware App aussieht und was sie macht. Ich selbst habe bestimmt schon 100 Apps vom Market geladen und installiert. Damit sollte ich mir laut AndroidPit Blog um die 20 Apps eingefangen haben die auf private Daten zugreifen. Habe ich aber nicht. Was mache ich falsch? Was muss ich tun um endlich mal eine Malware App zu sehen?

Wo kriege ich Malware her?

In einer ersten Suche schaue ich in den diversen Android Foren. Ich werde fündig in einem deutschen Forum (link). Jemand berichtet er habe auf ein AdMob-Werbebanner in einer App (Worldcup 2010-FotMob) geklickt, und daraufhin eine SMS von einem Klingeltonanbieter (blinkogold) erhalten, die den Abschluss eines Abos bestätigt.

Damit blinkogold mir eine SMS schicken kann, muss blinkogold natürlich meine Telefonnummer kennen. Die ist der Worldcup 2010-FotMob App laut Rechtesystem aber gar nicht zugänglich. Folgt man der Argumentation und den Beschreibungen im Thread muss das etwa so ablaufen:

  • Das Rechtesystem bei Android ist fehlerhaft
  • AdMob (eine Google Tochter) hat einen Weg gefunden dies bösartig auszunutzen und die Telefonnummern von Usern auszulesen
  • AdMob tut dies aber nur, wenn man auf blinkogold Werbung drückt. Dann übermittelt AdMob die Telefonnummer an blinkogold. Blinkogold verschickt dann eine SMS und meldet in betrügerischer Weise dem jeweiligen Telefonprovider dass der User ein Abo abgeschlossen hat, woraufhin der Telefonprovider beim User Geld eintreibt

Im erwähnten Forum nimmt man diese Argumentation ernst genug, um einen „Wichtig“ (=Sticky)-Thread zu starten auf dem User eintragen können welche Apps AdMob benutzen. Ich schiebe kurze Assoziationen an die mittelalterliche Methode des an den Pranger Stellens beiseite. Es geht um Verbraucherschutz. Da darf man in der Wahl der Mittel nicht zimperlich sein.

Zumindest habe ich damit meinen ersten Kandidaten für Malware. Im Selbstversuch lade ich Worldcup 2010-FotMob runter und klicke auf alle Anzeigen die ich sehe. Kein blinkogold, keine SMS, kein Abo. Natürlich kann man sich bei AdMob nicht aussuchen welche Anzeigen dargestellt werden. Zu dumm dass die Firma den Trick auch nur bei blinkogold Anzeigen anwendet.

Anti-Virus Software

Mein nächster Versuch: ich lade mir eine Anti-Virus Software vom Market runter. „antivirus free“ hat laut Hersteller über 800.000 Downloads und an die 20.000 Bewertungen. Die Kommentare im Market sind euphorisch, auch wenn ich keinen einzigen finden kann der sagt dass die App bei ihm tatsächlich einen Virus entfernt hätte. Dafür braucht die App so ziemlich alles an Berechtigungen was Android hergibt.

Bevor ich die Software laufen lasse, installiere ich eine App die Flurry benutzt (und somit Statistiken an Flurry sendet), mehrere Apps die AdMob und AdSense benutzen, und natürlich „Worldcup 2010-FotMob“. Um nichts unversucht zu lassen mir einen Virus einzufangen, surfe ich auf ein paar Seiten im Web die McAfee als schädlich eingestuft hat. Anschließend lasse ich „antivirus-free“ laufen.

Als erstes ermittelt antivirus-free meinen genauen Standort per GPS. Sehr gut denke ich. Damit kann es mich vor Viren in meiner unmittelbaren, räumlichen Umgebung GPS-genau warnen. Ich wähle dann die Option mein Telefon zu scannen. „antivirus free“ warnt mich vor der Bedrohung, dass ich in den Android Settings die Installation von Apps von unbekannten Quellen erlaubt habe. Das war‘s. Keine Malware, kein Virus. Ich überlege die Pro-Version für 9,99 USD zu kaufen die laut Hersteller noch mehr Sicherheit bietet, entscheide mich dann aber doch dagegen.

Offenbar liege ich mit diesem Entschluss anders als die über 10.000 User die die Pro-Version gekauft, und dem Hersteller nach Adam Riese damit über 100.000 USD an Umsatz gebracht haben. Ich überlege eine Anti-Viren App zu schreiben. Wenn ich dafür nur endlich Malware hätte um zu testen ob meine Anti-Viren App dann auch funktioniert!

Malware auf dem Android Market

Mein nächster Anlaufpunkt ist der Android Market. Meine Web-Recherche klärt mich darüber auf dass Google veröffentlichte Apps nicht pro-aktiv prüft. Jeder Nutzer kann eine App kennzeichnen wenn sie seiner Ansicht nach gegen die Google Richtlinien verstößt. Wenn dies in einem bestimmten, nur Google bekannten Ausmaß geschieht, prüft Google die App und entfernt sie gegebenenfalls innerhalb von drei Tagen aus dem Market.

Eine aus den Anfangstagen (6000 Apps im Market) stammende Zahl sagt dass dies bei ca. 1% der Apps geschieht (Quelle). Beim Großteil der entfernten Apps liegt das laut Artikel an Urheberrechtsverletzungen, oder an „Adult Content“. Sagte Steve Jobs nicht wer Porno will soll sich ein Android Telefon holen? Ich überlege kurz Steve Jobs wegen irreführender Werbung für Google Produkte zu verklagen, mache mich dann aber doch wieder auf die Suche nach Malware im Market.

In einem Bericht des Wired Magazine ist die Rede von genau zwei Entwicklern, deren Apps wegen Bösartigkeit entfernt wurden. Komme ich der Malware doch näher? Die betroffenen Apps haben behauptet den Home-Banking Zugang zu bestimmten US Banken zu beschleunigen, und den Benutzer zur Eingabe seiner log-on Daten aufgefordert. Mit diesen Daten wurde dann die Web-Seite des Home-Bankings der Bank aufgerufen, und der User eingeloggt. Weiteres ist nicht bekannt. Allerdings war die App nicht von der Bank erstellt. (Quelle) Ich lerne: eine Homebanking Anwendung die ich nicht direkt von meiner Bank erhalte, sollte ich nicht nutzen um auf das Homebanking meiner Bank zuzugreifen. Die entsprechende App wurde vom Market entfernt. Ich kann sie somit nicht persönlich testen.

AndroidPit

Vielleicht hilft mir ja der AndroidPit Blog. „Jede fünfte App“! Die Lektüre des Blogs klärt mich auf: Die „jede fünfte App“ Aussage ist lediglich die Behauptung eines Herstellers von Android Antiviren-Software, und Zugriff auf Daten ist nicht gleichzusetzen mit Missbrauch, auch wenn die Verwendung der Begriffe „Google“ und „Private Daten“ in einer Pressemitteilung natürlich genau diese Assoziation im kollektiven Bewusstsein erweckt.

Immerhin, eine Analyse von einem Anti-Viren Herstelle denke ich mir. Die werden jede Menge Malware Beispiele haben. Ich surfe auf die Web-Site von SMobile, der Firma hinter der „jede fünfte App“ Studie, und finde das dem AndroidPit Blog zugrunde liegende White Paper.

SMobile Analyse

Endlich ein paar Beispiele für bösartige Apps. „Paar“ heißt in diesem Fall wirklich genau zwei. Da ist die Homebanking Phishing App, über die schon Wired berichtet hat, und die vom Market entfernt wurde. Auch SMobile kennt diese App nur aus mündlicher Überlieferung und kann nur mutmaßen.

Als zweites wird eine App namens Spy Messages erwähnt. Diese kann man vom Market herunter laden. Einmal installiert, protokolliert die App jede SMS die ich erstelle, und schickt eine Kopie der SMS per e-mail an die Web-Site http://www.savesmsmessages.com/, wo ich mir die gesammelten SMS-Werke gegen Zahlung einer Gebühr wieder anschauen darf. Das hat SMobile nicht durch investigative Code Analyse herausgefunden. Das steht vielmehr in der App Beschreibung im Market. Als Anwendungsbeispiel wird dort genannt dass Eltern kontrollieren können welche SMS ihre Kinder schreiben.

Definitiv etwas das nach Malware aussieht. Allerdings informiert mich Android bei der Installation genau über die Rechte die diese App haben möchte, die App sagt in der Beschreibung klar was sie tut, und den User-Kommentaren entnehme ich dass dies nicht einmal richtig funktioniert. Malware habe ich mir anders vorgestellt.

Ich stelle mir vor wie ich die App heimlich auf dem Handy meiner Frau installiere um endlich heraus zu bekommen mit wem sie so viele SMS austauscht:
Sie: „Du hattest doch vorhin mein Handy“.
Ich: „Ja“
Sie: „Neben meinem Sudoku ist jetzt auf einmal so eine komische App. Die heißt „SMS Upload“. Hast Du die auch?“
Ich: „Ja, die war schon immer drauf“
Sie: „Komisch. Bei meinen Market Downloads steht die auch. MOMENT MAL! IN DER MARKET BESCHREIBUNG STEHT…“

Ich lasse den Gedanken die App zu installieren wieder fallen.

Ich suche nach weiterer Malware die SMobile gefunden hat – freue mich darauf endlich zu finden wonach ich suche: Security Exploits, Apps die sich als Adressbuch ausgeben und meine Daten an die Russenmafia verkaufen, Viren und ähnliches. Ich finde aber nichts. „Spy Messages“ ist die einzige konkrete Malware-App die SMobile aufführt.

Endlich – Malware!

Endlich finde ich einen Bericht über echte Malware bei heise online. Die App heißt WeatherFist und wurde von Forschern (Angestellten einer Hewlett-Packard Tochter) zu Demonstrationszwecken entwickelt und verbreitet. Laut heise Artikel zeigt sie standortbezogene Wetterdaten an. Der Artikel weiter: „Im Hintergrund könnte WeatherFist jedoch das Smartphone übernehmen und Kurznachrichten oder das Adressbuch auslesen sowie eine Reverse Shell zum Zugriff aus der Ferne öffnen.“

Das klingt endlich mal böse. Ich Google nach „WeatherFist“ und „Download“, werde fündig, und versuche die App zu installieren. Die angeforderten Berechtigungen sind „GPS Standort“ und „Internetzugriff“. Hinzu kommt „Telefon identifizieren“. Letzteres gibt der App meine Telefonnummer, was für eine Weather App nicht wirklich notwendig ist.

Ich klicke auf „Installieren“, und stelle fest dass mir „antivirus free“ eine Warnung ausgibt, dass die App die ich installieren möchte schädlich sei! Also doch! Ich habe eine ausgewiesene Malware gefunden die zu meinem Viren-Scanner passt!

Wie böse ist die App? Ein Blick auf den Blog-Eintrag der Forscher hilft weiter. Die App sendet meinen Standort sowie einen Code aus dem meine Telefonnummer errechnet werden kann an einen zentralen Server. Die feindliche Übernahme meines Telefons von der heise berichtet ist damit nicht möglich. Dies, so behaupten die Forscher, funktioniert mit einer bösartigen Variante ihrer Software, die sie allerdings nicht veröffentlichen. Auch hier kein Hinweis darauf dass das Android Berechtigungssystem umgangen werden konnte.

Wie schlimm ist es?

Das Ergebnis meines Selbstversuchs: Es gibt momentan 60.000 Apps auf dem Market. Ich habe an allen mir möglich erscheinenden Stellen nach Malware gesucht und umgehend installiert was ich an Verdächtigem gefunden habe. Bösartige Apps gefunden habe ich genau 2 (die Phishing App und WeatherFist).

Ich habe kein Beispiel für eine App gefunden die es geschafft hat das Android Berechtigungssystem zu umgehen. Auch alle durchsuchten seriösen Quellen liefern hier nichts. Jegliche beschriebene Malware kam als App daher, musste genau sagen welche Berechtigungen sie benötigt und ich als Nutzer musste bestätigen, dass ich die App mit all ihren geforderten Rechten wirklich installieren möchte.

Ein paar Grundlagen welche Malware auf uns zukommen könnte habe ich gefunden. Es könnten Homebanking Phishing Apps auftauchen, sowie Apps die mir vorgaukeln sie würden harmlos meine SMS verwalten, diese dann aber bösartig an Datenhändler, oder – schlimmer – an meine Frau schicken. Ich werde mir weiterhin gut überlegen welcher App ich Zugriff auf welche Daten genehmige. Meinen Viren-Scanner habe ich in der Zwischenzeit wieder deinstalliert.

Ich freue mich darauf von euren Erfahrungen zu hören.

Quelle: http://www.androidpit.de/de/android/blog/392474/Android-Malware-Abzocke-Ein-Selbstversuch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.