Mobile Malware

Android-Schädlinge nutzen Google Cloud Messaging

Schädliche Android-Apps missbrauchen Google Cloud Messaging, um Kontrollstrukturen für Bot-Netze aufzubauen. Die Malware ist in "trojanisierten" Apps versteckt.

Android: Malware nutzt Google Cloud Messaging als Verbreitungsweg.

© Screenshots / Kaspersky Lab

Android: Malware nutzt Google Cloud Messaging als Verbreitungsweg.

Malware-Forscher des Antivirusherstellers Kaspersky Lab haben mehrere Android-Schädlinge entdeckt, die mit Hilfe eines für Android-Entwickler gedachten Nachrichtendienstes Bot-Netze aufspannen. Sie nutzen den Dienst Google Cloud Messaging (GCM), mit dem registrierte App-Entwickler kurze Nachrichten an installierte Apps senden können. Damit signalisieren die Entwickler etwa verfügbare Updates oder neue Spiele-Levels. Außerdem können gestohlene oder verlorene Mobiltelefone ihre Koordinaten senden.

Der Kaspersky-Blog auf securelist.com berichtet über mehrere Android-Schädlinge, die GCM für kriminelle Zwecke nutzen. Die Malware wird in den Installationspaketen harmloser Apps versteckt, die damit trojanisiert werden. Die Apps erfüllen weiterhin ihren offiziellen Zweck, jedoch schleusen sie bei ihrer Installation auch den Schädling ein - wie ein klassisches Trojanisches Pferd.

Zu dem am weitesten verbreiteten Android-Schädlingen dieser Art gehört "Trojan-SMS.AndroidOS.FakeInst.a", für den Kaspersky Lab 4,8 Millionen Installationspakete entdeckt hat. Er sendet SMS an Premiumnummern, löscht eingehende SMS, erzeugt Verknüpfungen zu schädlichen Web-Seiten und zeigt auf dem Mobilgeräte Werbung für andere trojanisierte Apps an. Diese Malware ist bereits in über 130 Ländern entdeckt worden, hauptsächlich jedoch in Russland und anderen GUS-Staaten. Über GCM erhält er Befehle zum Versand der Premium-SMS.

Der Schädling "Trojan-SMS.AndroidOS.Agent.ao" kommt als Porno-App daher, enthält jedoch noch eine zweite, verdeckte Funktion: er verschickt teure Premium-SMS. Kaspersky Lab hat bislang mehr als 300 verschiedene Installationspakete entdeckt, die diese Malware enthalten. Diese Malware nutzt GCM, um Updates zu laden und erhält darüber Anweisungen zum Versand der Premium-SMS. Hauptziel sind Nutzer in Großbritannien, er ist aber auch schon in der Schweiz und in Südafrika entdeckt worden.

Ein weiterer typischer SMS-Schädling ist "Trojan-SMS.AndroidOS.OpFake.a", der bereits in mehr als einer Million unterschiedlicher Installationspakete mit vermeintlich harmlosen Apps entdeckt wurde. Er nimmt zunächst per Internet Kontakt zu seinem Mutterschiff auf, nutzt dann aber auch GCM als gleichrangigen Weg. Dieser Schädling kann nicht nur SMS senden, er kann auch eingehende Nachrichten löschen oder umleiten sowie Kontaktdaten ausspionieren. Einige Varianten lösen bei Android 4.2 eine Warnmeldung aus, doch leider nicht alle.

Kaspersky beschreibt noch weitere Schädlinge, die GCM nutzen. Es sind bislang nicht sehr viele, manche sind jedoch stark verbreitet. Einen Riegel kann man diesem Treiben nur vorschieben, indem man die Entwickler-IDs, die bei der Kommunikation schädlicher Apps über Google Cloud Messaging genutzt werden, an Google meldet. Google kann diese IDs dann sperren.

Mehr zum Thema

BadNews: Auf dem Android-Marktplatz wurden Schädlinge entdeckt.