Android-Trojaner Gmobi kommt per SDK in Freeware und Firmware

Ein nicht nur unerwünschte Anzeigen ausliefernder Android-Trojaner ist in beliebten Anwendungen entdeckt worden. Wie Sicherheitsforscher von Dr. Web herausfanden, steckte er in der Firmware von rund 40 günstigen Android-Smartphones und in bekannten Anwendungen wie Trend Micro Dr.Safety, Dr.Booster und Asus WebStorage. Sie tauften ihn Android.Gmobi.1 oder kurz Gmobi.

Die Anbieter der Software wurden benachrichtigt. Trend Micro hat seine Apps bereits überarbeitet und informierte ZDNet.com auf Nachfrage, es seien keine Bezahl-Apps, wohl aber die beiden Gratisversionen betroffen gewesen. Das betroffene Modul sei bewusst als Adware-Lösung eingebaut worden. Man werde mit dem Anbieter sprechen, da das Verhalten tatsächlich als bösartige Aktivität gedeutet werden könne, und lasse es bis dahin außen vor. Asus hingegen denkt noch über den besten Lösungsansatz nach.

Das läuft darauf hinaus, dass Adware nicht unbedingt ein Schadprogramm sein muss, sondern Werbung von vielen Nutzern in Kauf genommen wird, um Anwendungen und Spiele gratis beziehen zu können. Laut Beschreibung von Dr. Web können mit Gmobi jedoch Dritte aus der Ferne das Betriebssystem aktualisieren, Daten sammeln, Benachrichtigungen anzeigen (darunter Werbung) und Bezahlvorgänge durchführen.

Zu den erfassten Daten zählen E-Mail-Adressen, Roaming-Verfügbarkeit, Geräte-Informationen einschließlich Vorhandensein der App Google Play und Geodaten, also Aufenthaltsorte des Besitzers. Die gesammelten Daten sendet die Malware an einen Kommandoserver. Dieser kann in Form einer JSON-Datei Befehle zurücksenden, etwa eine bestimmte Anzeige auszuliefern, aber auch, ein Programm zu starten oder eine Verknüpfung auf dem Startbildschirm zu erstellen. Zudem lassen sich auf diese Weise zusätzliche APK-Dateien installieren.

Dr. Web weist darauf hin, dass es alle Programme als Malware einstuft, die mit dem fraglichen Entwicklerkit (SDK) erstellt wurden und die das Schadmodul daher enthalten. Es kann aber Infektionen der Firmware nicht beseitigen, da die Antivirenlösung normalerweise keine Root-Rechte hat. Und sollte sie doch mit Root-Rechten ausgeführt werden, bestünde eine hohe Wahrscheinlichkeit, das Gerät funktionsunfähig zu machen, da der Trojaner auch in kritischen Systemanwendungen stecken kann. Anwendern betroffener Geräte empfiehlt es, sich an den Hersteller zu wenden und eine Firmware ohne Trojaner zu fordern.

Das fragliche Software Development Kit, kurz SDK, versprach Entwicklern erweiterten Funktionsumfang. Den Namen des Angebots hat Dr. Web nicht genannt.

Einen ähnlichen Fall hatte FireEye im November in Form einer Anzeigenlösung für iOS entdeckt. Tausende Apps, die ursprünglich in Apples App Store veröffentlicht wurden, enthielten eine Hintertür. Die Module wurden nicht nur zum Ausliefern von Anzeigen verwendet, sondern ermöglichten Dritten auch Zugriff auf vertrauliche Nutzerdaten sowie Gerätefunktionen. Ursache des Problems war offenbar eine Version des vom chinesischen Werbedienstleister adSage veröffentlichten mobiSage SDK.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de