Mobile Malware

Android-Schädlinge nutzen Google Cloud Messaging

Schädliche Android-Apps missbrauchen Google Cloud Messaging, um Kontrollstrukturen für Bot-Netze aufzubauen. Die Malware ist in "trojanisierten" Apps versteckt.

Android: Malware nutzt Google Cloud Messaging als Verbreitungsweg.

© Screenshots / Kaspersky Lab

Android: Malware nutzt Google Cloud Messaging als Verbreitungsweg.

Malware-Forscher des Antivirusherstellers Kaspersky Lab haben mehrere Android-Schädlinge entdeckt, die mit Hilfe eines für Android-Entwickler gedachten Nachrichtendienstes Bot-Netze aufspannen. Sie nutzen den Dienst Google Cloud Messaging (GCM), mit dem registrierte App-Entwickler kurze Nachrichten an installierte Apps senden können. Damit signalisieren die Entwickler etwa verfügbare Updates oder neue Spiele-Levels. Außerdem können gestohlene oder verlorene Mobiltelefone ihre Koordinaten senden.

Der Kaspersky-Blog auf securelist.com berichtet über mehrere Android-Schädlinge, die GCM für kriminelle Zwecke nutzen. Die Malware wird in den Installationspaketen harmloser Apps versteckt, die damit trojanisiert werden. Die Apps erfüllen weiterhin ihren offiziellen Zweck, jedoch schleusen sie bei ihrer Installation auch den Schädling ein - wie ein klassisches Trojanisches Pferd.

Zu dem am weitesten verbreiteten Android-Schädlingen dieser Art gehört "Trojan-SMS.AndroidOS.FakeInst.a", für den Kaspersky Lab 4,8 Millionen Installationspakete entdeckt hat. Er sendet SMS an Premiumnummern, löscht eingehende SMS, erzeugt Verknüpfungen zu schädlichen Web-Seiten und zeigt auf dem Mobilgeräte Werbung für andere trojanisierte Apps an. Diese Malware ist bereits in über 130 Ländern entdeckt worden, hauptsächlich jedoch in Russland und anderen GUS-Staaten. Über GCM erhält er Befehle zum Versand der Premium-SMS.

Der Schädling "Trojan-SMS.AndroidOS.Agent.ao" kommt als Porno-App daher, enthält jedoch noch eine zweite, verdeckte Funktion: er verschickt teure Premium-SMS. Kaspersky Lab hat bislang mehr als 300 verschiedene Installationspakete entdeckt, die diese Malware enthalten. Diese Malware nutzt GCM, um Updates zu laden und erhält darüber Anweisungen zum Versand der Premium-SMS. Hauptziel sind Nutzer in Großbritannien, er ist aber auch schon in der Schweiz und in Südafrika entdeckt worden.

Ein weiterer typischer SMS-Schädling ist "Trojan-SMS.AndroidOS.OpFake.a", der bereits in mehr als einer Million unterschiedlicher Installationspakete mit vermeintlich harmlosen Apps entdeckt wurde. Er nimmt zunächst per Internet Kontakt zu seinem Mutterschiff auf, nutzt dann aber auch GCM als gleichrangigen Weg. Dieser Schädling kann nicht nur SMS senden, er kann auch eingehende Nachrichten löschen oder umleiten sowie Kontaktdaten ausspionieren. Einige Varianten lösen bei Android 4.2 eine Warnmeldung aus, doch leider nicht alle.

Kaspersky beschreibt noch weitere Schädlinge, die GCM nutzen. Es sind bislang nicht sehr viele, manche sind jedoch stark verbreitet. Einen Riegel kann man diesem Treiben nur vorschieben, indem man die Entwickler-IDs, die bei der Kommunikation schädlicher Apps über Google Cloud Messaging genutzt werden, an Google meldet. Google kann diese IDs dann sperren.

Mehr zum Thema

BadNews: Auf dem Android-Marktplatz wurden Schädlinge entdeckt.
BadNews

Auf Google Play sind erneut mit Malware verseuchte Apps aufgetaucht. Sie enthalten eine neue Schädlingsfamilie namens BadNews.
Android-Geschenkkarten bei Penny: Google vertreibt bald Guthaben-Codes bei Penny.
Android-Apps verschenken

Google Play akzeptiert Codes von Gutscheinkarten. Guthabenkontingente mit 15, 25 und 50 Euro für Android-Apps sollen demnächst bei Penny verfügbar…
McAfee legt einen aktuellen Sicherheitsreport vor.
Smartphones im Visier

Smartphones geraten immer mehr ins Visier der Online-Kriminellen. Bereits im ersten Halbjahr 2013 wurde mehr neue Mobile Malware entdeckt als im…
Kaspersky Lab meldet über 200.000 bekannte Mobilschädlinge.
Mobile Bot-Netze

Die Menge bekannter Malware für Mobilplattformen wächst weiter rasant. Der Antivirushersteller Kaspersky Lab meldet über 200.000 bekannte…
Fritzbox-Hack: Überprüfen Sie Ihre Fritzbox mit einer Android-App.
Fritzbox-Hack

Der Fritzbox-Hack scheint überwunden, AVM hat die nötigen Updates weitgehend zum Download bereitgestellt. Mit einer Android-App können Sie Ihren…