11. August 2010

Kaspersky: Android-Trojaner versendet heimlich teure SMS

Die Pressemitteilung von Kaspersky hat sich schnell verbreitet: "First SMS Trojan detected for smartphones running Android", so die Überschrift. Laut Kaspersky handelt es sich dabei um eine Player-App, die den Schädling "Trojan-SMS.AndroidOS.FakePlayer.a" installiert und anschließend im Hintergrund permanent SMSs an "Premium Nummern" versendet.

Leider gibt die Pressemeldung keinerlei Auskunft darüber, wieviele Handys infiziert wurden, noch wie sich die Nutzer den Schädling eingefangen haben sollen. Auf einigen Seiten ist zu lesen, dass sich der Trojaner nur in Russland verbreitet haben soll und von einer Website heruntergeladen wurde - die App also nicht im Android Market lag. Eine Quelle dafür habe ich allerdings nicht gefunden - nur Blogs, die diese Behauptung aufstellen. In der offiziellen Kaspersky-Meldung wird kein Verbreitungsweg explizit genannt!

Wie der Schädling aufs Smartphone kommt, sollte klar sein: Der Nutzer erlaubt es. Denn so wie jede andere App muss auch dieser Fake-Player nach einer Installationserlaubnis fragen, in der alle Dienste aufgelistet sind, die das Tool ansprechen will. In diesem speziellen Fall hat der Nutzer wohl auch zugestimmt, dass ein 13 KByte großes File zusätzlich heruntergeladen wird - der Trojaner.

Ist der Nutzer selbst schuld?

Jein. Viele der Kommentare, die ich auf ganz unterschiedlichen Seiten gelesen habe, haben den gleichen Grundton: "Wer so blöd ist und nicht darauf achtet, welche Rechte das Tool haben will, hat es nicht anders verdient." Diese Einstellung kann ich nicht nachvollziehen. Zum einen kann man nicht von jedem User verlangen, dass er genau weiß, was diese Zugangsberechtigungen genau bedeuten. Zum anderen ist es auch für erfahrene Nutzer ganz sicher nicht immer nachvollziehbar, warum eine App z.B. GPS-Daten anfordert, auf die SD-Karte schreiben oder eine permanente Internetverbindung haben möchte.

Theoretisch könnte ein bereits in der Szene etablierter Entwickler auf die Idee kommen, Schadsoftware in seine App zu packen - ohne die Rechte zu ändern. Wer soll das dann bitte auf den ersten Blick erkennen? Das ist so gut wie ausgeschlossen. Denn erst eine Analyse - oder der Zufall - würde zeigen, dass da Daten im Hintergrund versendet werden, die nicht ganz korrekt zu sein scheinen.

Ist Android Malware-anfälliger als andere Systeme?

Die Frage lässt sich wohl kaum befriedigend beantworten. Bei Android gibt es im Gegensatz zum iPhone keine Prüfung des Markets. Von daher wäre es für Schadsoftware wohl einfacher, sich unter Android zu verbreiten - zumindest kurzfristig. Andererseits wurden auch genügend Lücken im iPhone gefunden, die jemand ausnutzen kann. Der Jailbreak durch einen simplen Besuch einer Website sei da mal nur so als Beispiel genannt. Und auf anderen Plattformen wie Windows Mobile (bald Windows Phone) und Symbian sieht es natürlich nicht besser aus bzw. wird es nicht besser aussehen. Die eigentliche Frage ist auch gar nicht, welches System das sicherste oder unsicherste ist, sondern welches das meist verbreitetste. Denn auf dieses System werden sich die Angreifer künftig konzentrieren. Man kennt es ja aus dem Desktop-Bereich...

Wie soll man sich vor Malware unter Android schützen?

Es gibt bereits einige Antiviren-Programme im Market, die durch regelmäßige Updates ihre Signaturen aktuell halten - ob die auch alle eine heuristische Erkennung bieten, weiß ich nicht. Wäre mal 'ne Aufgabe, dass herauszufinden.

Dann gibt es noch die Möglichkeit, nur Apps zu installieren, die bereits oft heruntergeladen und gut bewertet wurden. Funktioniert natürlich nur, wenn nicht alle warten und es quasi risikofreudige "Early Adopter" gibt ;-)

Der wohl beste Schutz ist aber, nicht jeden Mist auszuprobieren und sich immer, wirklich immer fragen, warum diese App jetzt Rechte XY haben will. Im Zweifelsfall auch einen Blick auf die Entwickler-Homepage werfen und schauen, ob sie vertrauenswürdig aussieht.

Alles nicht so hilfreiche Tipps? That's life.

Hier noch die Original-Pressemeldung:

First SMS Trojan detected for smartphones running Android

Kaspersky Lab, a leading developer of secure content management solutions, announces that the first malicious program classified as a Trojan-SMS has been detected for smartphones running on Google’s Android operating system. Named Trojan-SMS.AndroidOS.FakePlayer.a, it has already infected a number of mobile devices.

The new malicious program penetrates smartphones running Android in the guise of a harmless media player application. Users are prompted to install a file of just over 13 KB with the standard Android extension .APK. Once installed on the phone, the Trojan uses the system to begin sending SMSs to premium rate numbers without the owner’s knowledge or consent, resulting in money passing from a user’s account to that of the cybercriminals.

The Trojan-SMS category is currently the most widespread class of malware for mobile phones, but Trojan-SMS.AndroidOS.FakePlayer.a is the first to specifically target the Android platform. It should be noted that there have already been isolated cases of devices running Android being infected with spyware. The first such program appeared in 2009.

“The IT market research and analysis organization IDC has noted that those selling devices running Android are experiencing the highest growth in sales among smartphone manufacturers. As a result, we can expect to see a corresponding rise in the amount of malware targeting that platform,” says Denis Maslennikov, Mobile Research Group Manager at Kaspersky Lab. “Kaspersky Lab is actively developing technologies and solutions to protect this operating system and plans to release Kaspersky Mobile Security for Android in early 2011.”

Kaspersky Lab recommends that users pay close attention to the services that an application requests access to when it is being installed. That includes access to premium rate services that charge to send SMSs and make calls. When a user agrees to these functions during the installation of an application, the smartphone may then be able to make calls and send SMSs without further authorization.

The signature for Trojan-SMS.AndroidOS.FakePlayer.a has already been added to Kaspersky Lab’s antivirus databases.


Quelle: Kaspersky

0 Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

 

Android: Apps, Hardware, Anleitungen Copyright © 2009 Gadget Blog is Designed by Ipietoon (modified by Manuel Schreiber) Sponsored by Online Business Journal