Skinner: Android-Malware bleibt zwei Monate unentdeckt im Play Store

Sicherheitsforscher von Check Point haben eine neuartige Android-Malware namens Skinner im Google Play Store entdeckt. Aufgrund von Verschleierungstaktiken verblieb sie rund zwei Monate lang in Googles App-Marktplatz, bevor sie entfernt wurde. In dieser Zeit infizierte sie offenbar mehr als 10.000 Android-Geräte.

Skinner blendet Check Point zufolge unerwünschte Werbung ein. Das macht die Schadsoftware allerdings so, dass sie keinen Verdacht erweckt: Die Werbung passt stets zu der App, die der Nutzer gerade verwendet. Ziel der Hintermänner war es also, möglichst hohe Werbeumsätze zu erzielen und nicht, besonders hohe Verbreitungszahlen zu erreichen.

Auch sonst verzichtet Skinner auf für Android-Malware übliche Vorgehensweisen, um nicht entdeckt zu werden. Es verteilt weder zusätzliche Schadsoftware, noch werden Nutzer zu gefährlichen Websites umgeleitet.

Versteckt war Skinner in einer App, die Zusatzfunktionen für Spiele versprach. Nach der Installation spähte die App den Standort des Geräts aus und erfasste jegliche Nutzung. Zudem war sie in der Lage, ohne Zustimmung des Nutzers, weiteren Code von einem Befehlsserver im Internet zu beziehen und auszuführen.

Vor dem Beginn ihrer Aktivitäten prüfte die App außerdem, ob sie tatsächlich über den Play Store installiert wurde, und ob ein Debugger aktiv ist, um nicht den Verdacht von Sicherheitsforschern zu erwecken. Werbung blendete sie außerdem erst ein, wenn sichergestellt war, dass ein tatsächlicher Nutzer das Gerät bediente. Dass die Werbung auch stets zum Kontext der aktuell geöffneten App passte, verzögerte die Entdeckung von Skinner ebenfalls.

Die Forscher bezeichneten die „maßgeschneiderte Werbung“ als eine „einmalige und recht innovative“ Taktik. Die meiste Adware setze heute um jeden Preis auf eine hohe Verbreitung, erklärten die Forscher. Skinner habe zwar nur sehr wenige Nutzer infiziert, aber wahrscheinlich dieselben Werbeumsätze generiert wie herkömmliche Adware.

„Je geringer die Verbreitung einer Malware ist, je geringer sind die Chancen, dass sie einen Alarm auslöst oder bei einer Sicherheitskontrolle auffällt“, schreiben die Forscher in einem Blogeintrag. „Wir erwarten, dass diese Taktik in naher Zukunft von anderer Adware übernommen und perfektioniert wird.“

Obwohl die App aus dem Play Store entfernt wurde, ist sie möglicherweise immer noch auf den meisten der mehr als 10.000 infizierten Geräte aktiv. Von daher ist nicht ausgeschlossen, dass Skinner auch weiterhin Werbeumsätze für seine Hintermänner generiert.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de