19. März 2015

13 weitere Fälle von Adware im Google Play Store

HideIcon-Solitaire-Blank

Der Zulassungsprozess vieler namhafter App Stores weist noch immer Sicherheitsmängel auf. Lookout hat 13 Apps im Google Play Store entdeckt, die Adware enthielten. Einige von ihnen gaben sich als eine Facebook-App aus und hatten Malware-ähnliche Merkmale, die das Entfernen der App vom Smartphone erschwerten.

Wir haben Google auf die 13 Fälle von Adware aufmerksam gemacht. Das Unternehmen hat daraufhin schnell reagiert und diese von ihrem App Store entfernt. Alle Nutzer von Lookout sind nun gegen diese Bedrohung geschützt.

Im vergangenen Monat kamen einige Meldungen über Adware in Google Play an die Öffentlichkeit. Anfang Februar entdeckten Forscher 3 Fälle von Adware, die ihr aggressives Werbeverhalten 30 Tage unterdrückten. Nach Ablauf dieser 30 Tage wurden den Opfern Werbeanzeigen eingeblendet und auf Webseiten mit riskanten Inhalten verwiesen. Ende Februar enthüllten Forscher 10 weitere Fälle von Adware, die ähnliche Verhaltensweisen aufzeigten.

In den 13 neu von Lookout entdeckten Fällen verbergen sich die zwei Adware-Familien HideIcon und NotFunny. Die Download-Zahlen liegen nach Messungen von Google bei über einer halben Millionen Downloads. Weniger populäre Apps erreichten ca. 130.000 Downloads.

Nehmen wir die neuesten Bedrohungen genauer unter die Lupe:

HideIcon

Wie viele Funde: 1

Worum handelt es sich: HideIcon verfügt über einige Malware-Eigenschaften und verbirgt, wie der Name vermuten lässt, das App-Icon, sobald die Software auf dem Gerät installiert ist. Das scheint erst einmal nicht weiter tragisch zu sein. Jedoch ist eine App, von der man nicht weiß, dass sie existiert, viel schwerer von einem Smartphone zu entfernen als eine Anwendung, die man visuell wahrnimmt. Nachdem die App ihr Icon verbirgt, lädt HideIcon aggressive Werbeanzeigen und stören so das Nutzererlebnis auf dem betroffenen Gerät. Es scheint keine Nutzungsbedingungen zu geben und die App bietet dem Nutzer keinerlei Mehrwert.

Cheetah Mobile hat diese Adware im Januar erstmals entdeckt. Google entfernte daraufhin fünf bösartige Apps, die die Adware enthielten. Irgendwie hat es HideIcon jedoch zurück in Google Play geschafft.

Wie sind die Fälle einzuschätzen: Die App gibt sich als ein Kartenspiel aus, inkl. Beschreibung bei Google Play, wie das Spiel funktioniert. Zum Zeitpunkt der Löschung aus dem Google Play Katalog, war die App 1.000 bis 5.000 Mal heruntergeladen worden.

NotFunny

Wie viele Funde: 12

Worum handelt es sich: NotFunny besteht aus zwei Teilen: einem “Dropper” und dem “Payload” bzw. der Adware. Der Dropper verbirgt sich in Anwendungen wie einer “kostenlosen Weihnachtslieder-Klingelton-App”, Wallpaper-Apps, einer gefälschten Laserpointer-App und anderen Anwendungen. Wenn ein Opfer eine dieser Apps herunterlädt und startet, fordert der Dropper zum Download des Payloads auf. Diese Payload-App gibt sich als Facebook aus und legt ein Facebook-Icon im App-Launcher des Smartphones ab, bittet um mehrere Berechtigungen wie “persönliche Daten”, “kostenpflichtige Dienste“, “Nachrichten“ und “Standort“. Sobald die Installation abgeschlossen ist, verbirgt der Payload sein Icon.

Wie die meisten Adware-Arten pusht der Payload auf aggressive Weise Werbeanzeigen auf das Smartphone oder Tablet und beeinträchtigt dadurch die Nutzbarkeit des mobilen Gerätes. Der Code ist recht rudimentär und es gibt keine Hinweise darauf, dass sich professionelle Cyberkriminelle hinter dieser Bedrohung verbergen.

Wie sind die Fälle einzuschätzen: Lookout hat insgesamt 12 Fälle mit NotFunny im Google Play Store gefunden, die einer Reihe von Entwickler-Accounts zugeordnet waren. Ob diese Accounts von verschiedenen Personen geführt wurden, ist unbekannt. Die Apps hatten so unterschiedliche Themen wie “lustige Stimmveränderung” bis hin zu Tools, die angeblich das Akku-Icon in Dinge wie eine brennende Zigarette umwandeln. Man kann sich leicht vorstellen, wie jemand mit einem neuen Smartphone sich auf die Suche nach neuen, lustigen Apps macht und auf diese hier stößt.

Nachdem Google einige Anwendungen entfernt hatte, lud einer der Entwickler zwei der Apps erneut hoch. Dieses Mal war die Adware-Komponente nicht enthalten. Dies könnte darauf hinweisen, dass der Entwickler die Adware unabsichtlich in seine App eingebunden hat, ohne von den aggressiven Eigenschaften zu wissen. Oder er hatte Googles Richtlinien nicht verstanden. Natürlich könnte der Entwickler auch einfach festgestellt haben, dass er damit nicht mehr durchkommen würde.

Können wir Google Play vertrauen?

Die knappe Antwort lautet: Ja. Eine Zusammenarbeit innerhalb der Branche ist notwendig, um in der Lage zu sein, eine sichere App-Store-Umgebung bereitzustellen. Google arbeitet bewusst mit Sicherheitsunternehmen zusammen, um die Qualität der Apps im Google Play Store sicherzustellen. Wenn eine bösartige App es dennoch in den Store schafft, entfernt Google sie so schnell wie möglich.

Die Realität sieht jedoch so aus, dass wir zahlreiche Sicherheitsmechanismen benötigen, um dafür sorgen zu können, dass unsere mobilen Geräte geschützt sind.

Wie Sie sich schützen können
  • Lesen Sie die App-Bewertungen. Wenn darin Punkte aufgeführt werden wie “Diese App blendet ständig Werbung ein!” oder andere negative Kommentare stehen, lassen Sie die Finger davon.
  • Laden Sie Apps von bekannten bzw. vertrauenswürdigen Entwicklern herunter. Recherchieren Sie kurz über den Entwickler, wenn Sie das Gefühl haben, eine App könnte potentiell schädlich sein sein.
  • Sorgen Sie dafür, dass auf Ihrem Gerät eine Sicherheits-App installiert ist, die Bedrohungen wie Adware erkennt, noch bevor Sie mit dieser in Kontakt kommen.
  • Lesen Sie, welche Berechtigungen eine App anfordert, bevor Sie sie installieren.
Wie Sie Adware entfernen können

Dies sind zwei Methoden, wie Sie eine App von Ihrem Android-Smartphone entfernen können, wenn die App ihr Icon verbirgt.

Entfernen einer App über das Einstellungsmenü:

  1. Öffnen Sie die Android-Systemeinstellungen.
  2. Wählen Sie “Apps” bzw. “Anwendungsmanager” aus.
  3. Rufen Sie den Tab „Alle“ auf und suchen Sie die App, die Sie deinstallieren möchten. Tippen Sie die App an.
  4. Wählen Sie den Punkt „Daten löschen“ aus, danach “Deinstallieren”.

Alternativ können Sie die App direkt vom Google Play Store aus entfernen:

  1. Öffnen Sie die Google-Play-Store-App
  2. Tippen Sie auf das Menü-Icon
  3. Öffnen Sie “Meine Apps”
  4. Wählen Sie die entsprechende App aus
  5. Drücken Sie auf “Deinstallieren”
17. März 2015

So schaffen Sie (digitale) Ordnung

Der Frühling ist da! Zeit, die Ärmel hochzukrempeln und gründlich aufzuräumen. Neben dem Frühjahrsputz könnten Sie auch Ordnung auf Ihrem Handy schaffen und Ihre Fotos, Apps etc. durchschauen und aussortieren. Wir haben 6 Tipps für Sie zusammengestellt, wie Sie das Chaos in den Griff kriegen. Ihr Handy wird es Ihnen danken!

So bekommen Sie das (digitale) Chaos in den Griff:

Einstellungen aktualisieren: Stimmen Sie Downloads von unbekannten Quellen zu? (Kleiner Tipp: Sie sollten „Nein“ antworten). Verbindet sich Ihr Handy automatisch mit WLAN-Netzen, die eventuell nicht sicher sind? (Nein). Ist Ihr Gerät verschlüsselt? (Ja). Ihre Einstellungen so zu anzupassen, dass Bösewichte draußen bleiben, dauert wenige Minuten und kann ihnen viel Ärger ersparen.

Passwörter ändern: Bei wie vielen Konten sind Sie gerade angemeldet, wenn Sie Ihr Handy, Ihr Tablet und Ihren Computer zusammennehmen? Wissen Sie es überhaupt? Wir raten: Ändern Sie die Passwörter der meistgenutzten Konten, insbesondere wenn diese finanzielle oder persönliche Daten enthalten. Wenn Sie dieselben Passwörter für mehrere Konten nutzen (was Ihnen bestimmt niemals einfallen würde), sollten Sie dies ändern (einzelne Passwörter für wichtige Konten), damit Sie weniger anfällig für Betrug sind.

App-berechtigungen überprüfen: Wenn eine angeblich „kostenlose“ App Zugriff auf Ihre finanziellen Daten verlangt, dann ist diese wahrscheinlich nicht ganz gratis. Lesen Sie Bewertungen und checken Sie Berechtigungen, bevor Sie Apps herunterladen. Aber auch später können Sie jederzeit nachprüfen, welche Daten von den Apps erfasst werden, und dann diejenigen Apps deinstallieren, welche suspekt erscheinen.

Vergessene apps deinstallieren: Erinnern Sie sich an die App, die vor drei Monaten eine Woche lang der große Hype war? Nein? Wir auch nicht. Die meisten von uns nutzen nur etwa 10 Apps ständig. Der Rest stapelt sich auf dem Friedhof der vergessenen Apps. Da einige der unbekannteren nicht die besten Datenschutz-Standards bieten, ist es besser, sich einfach davon zu trennen.

Kontakte und fotos sichern: Seien Sie ehrlich: Machen Sie gerne Fotos von Ihrem Mittagessen? Wir haben nichts gegen Ihre umfangreiche Sandwich-Bildergalerie, aber sie belegt wahrscheinlich Platz, den Sie für andere Dinge benutzen könnten (z. B. noch mehr Bilder vom Mittagessen). Es gibt keinen Grund dafür, wertvolle Daten nur auf Ihrem Handy zu speichern. Schließlich leben wir im digitalen Zeitalter! Sichern Sie das, was wichtig ist, und löschen Sie alles andere. So gewinnt Ihr Handy ruckzuck an Leistung.

Proaktiv handeln: Laden Sie eine App für mobile Sicherheit wie Lookout herunter. So beugen Sie bis zum nächsten Frühjahrsputz schon vielen Problemen vor.

09. März 2015

Sicherheit im iOS-Betriebssystem – Stand der Dinge

Der iOS App Store ist nicht die unangreifbare Festung, die wir uns gerne vorstellen

Jahrelang haben Nutzer das iOS-Betriebssystem für Smartphones und Tablets als sicher eingestuft. Im Vergleich mit Android gibt es viel weniger Malware, was an der rigorosen, manuellen App-Überprüfung für den App Store liegt. Es werden nur die für sicher befundenen Apps auf iOS-Geräten zugelassen. Aber es ist ein Fehler zu glauben, dass man mit einem iOS-Gerät zu 100 Prozent vor Bedrohungen sicher ist.

Heute erinnert iOS-Malware stark an Android-Malware aus dem Jahr 2010. Damals hat Android-Malware einen Fuß in die Tür bekommen, als Forscher den ersten Trojaner namens “FakePlayer“ entdeckten. 2011 sahen wir die erste Android-Malware bei Google Play: DroidDream.

Bisher folgt iOS-Malware einem ähnlichen Muster: Zuerst gab es Bedrohungen für gehackte Geräte, dann beobachteten wir Bedrohungen für nicht-gehackte mobile Geräte, und schließlich tauchten sie im offiziellen App Store auf. Dabei hat die Geschichte für iOS gerade erst begonnen. Kevin Mahaffey, Lookouts Technischer Leiter, sagt voraus, dass 2015 eine neue Welle von iOS-Angriffen erwartet wird, welche die Voraussetzungen für iOS-Bedrohungen grundlegend verändern werden.

„Die Bösen sind intelligente, wirtschaftlich denkende Akteure. Da Android weltweit viel beliebter ist, greifen sie zunächst die größten Plattformen an”, sagt Kevin Mahaffey. „Kriminelle werden ihre Gewinne auf diesem Betriebssystem bald mit gezielten Angriffen signifikant erhöhen.”

Android- und iPhone-Malware: Die technischen Möglichkeiten sind nicht so unähnlich

Apple unterzieht jede eingesandte App einer Überprüfung und erteilt anschließend in der Regel die Freigabe für den App Store. Der Überprüfungsprozess, bei dem Apple-Mitarbeiter jede App manuell prüfen, hat in hohem Maße dazu beigetragen, dass iOS-Geräte von wenig ausgereifter Malware verschont blieben. Aber auch dieser Prozess ist nicht perfekt. Denn die Malware, die es letztendlich auf iOS-Geräte schafft, könnte viele schadhafte Handlungen ausführen. Lookout hat iOS-Angriffe beobachtet, die folgende Auswirkungen hatten:

Screen Shot 2015-03-09 at 3.22.06 PM

Die Ausgangsvoraussetzungen sind viel ähnlicher, als allgemein angenommen wird. Natürlich ist die Anzahl der von Malware betroffenen Nutzer bei Android viel höher. Aber in Hinblick darauf, was Malware anrichten kann, wenn sie einmal auf dem mobilen Gerät ist, ist es für Kriminelle vorteilhaft, gezielte Angriffe auch auf iOS-Systeme zu starten.

iOS-Bedrohungen bis heute

Es gibt bereits Bedrohungen für iOS, und sie sind nicht trivial. Bösartige Akteure nutzen firmeninterne Provisioning-Profile aus. Diese Profile sind zwar schwer zu kapern, aber wenn man sie steuern kann, ist man in der Lage, jegliche Anwendung an die entsprechenden Geräte zu senden. Eine Reihe aktuellerer iOS-Bedrohungen wie WireLurker und XAgent nutzen diese Taktik. Die Welt der iOS-Malware wird sich weiter wandeln. Lassen Sie uns einen Blick auf die aktuelle Bedrohungsumgebung werfen:

iOS_threats_graphic_DE (1)

07. Januar 2015

Das Datenschutz-Tool, das keines war: Die Malware SocialPath gibt vor, Daten zu schützen, und stiehlt sie dann

SocialPath

Tools zum Schutz der Privatsphäre werden immer wichtiger. Sie informieren Anwender, welche Art von Daten sie mit anderen teilen können, und helfen beim Schutz persönlicher Daten.

Da ist es besonders dreist, wenn eine App vorgibt, die Privatsphäre zu schützen, stattdessen aber die Daten des Nutzers stiehlt.

mehr

04. Dezember 2014

DeathRing: Vorinstallierte Malware – der zweite Angriff in 2014 auf Smartphones

Wenn Sie ein nagelneues Smartphone kaufen, dann vertrauen Sie darauf, dass es einwandfrei ist und Sie es bedenkenlos nutzen können. Allerdings ist das nicht immer der Fall: Lookout hat eine neue vorinstallierte Malware identifiziert: DeathRing.

DeathRing ist ein chinesischer Trojaner, der auf verschiedenen Smartphones, die in Asien und Afrika beliebt sind, vorinstalliert ist. Die Anzahl der erkannten Fälle ist im Moment nicht sehr hoch. Doch aufgrund der Tatsache, dass die Malware vorinstalliert ist und auf der ganzen Welt entdeckt wurde, halten wir sie für eine besorgniserregende Bedrohung.

Was macht der Trojaner?

Der Trojaner nimmt die Gestalt einer Klingelton-App an. Dieser kann aber tatsächlich SMS- und WAP-Inhalte von seinem Command- und Control-Server auf das Gerät des Opfers herunterladen und dann diese Inhalte zu bösartigen Zwecken nutzen.

Beispielsweise könnte DeathRing mit SMS-Inhalten persönliche Daten des Benutzers abgreifen. Hierzu werden falsche Textnachrichten gesendet, in denen die gewünschten Daten angefordert werden. Außerdem könnte er WAP- bzw. Browserinhalte nutzen, um Opfer zum Download weiterer APKs aufzufordern. Das ist besorgniserregend, weil die Malware-Entwickler somit die Opfer verleiten, weitere Malware herunterzuladen, welche die Reichweite des Angriffs auf das Gerät und die Daten des Benutzers ausdehnt.

Die Malware wird abhängig von der Art der Nutzung auf zwei Arten aktiviert. Zum Ersten aktiviert sich die Malware, wenn das Smartphone fünfmal herunter- und wieder hochgefahren wird. Beim fünften Neustart tritt die Malware in Aktion. Zum Zweiten startet die bösartige Funktion, nachdem das Opfer mindestens fünfzig Mal das Gerät benutzt und wieder abgelegt hat.

Welche Smartphones sind betroffen?

Wir wissen zurzeit nicht, an welcher Stelle in der Lieferkette DeathRing installiert wird. Jedoch wissen wir aber, dass DeathRing in das Systemverzeichnis verschiedener Geräte geladen wird. Das sind meist Geräte von weniger bekannten Herstellern, die Smartphones in Entwicklungsländer verkaufen. Hierzu gehören:

  • Counterfeit Samsung GS4/Note II
  • Diverse TECNO-Geräte
  • Gionee Gpad G1
  • Gionee GN708W
  • Gionee GN800
  • Polytron Rocket S2350
  • Hi-Tech Amaze Tab
  • Karbonn TA-FONE A34/A37
  • Jiayu G4S – Galaxy S4 Clone
  • Haier H7
  • Ohne Herstellerangabe i9502+ Samsung Clone

Die hauptsächlich betroffenen Länder sind Vietnam, Indonesien, Indien, Nigeria, Taiwan und China.

Kommt Ihnen das bekannt vor?

Zu Beginn dieses Jahres hatte Lookout bereits eine andere vorinstallierte Malware namens Mouabad erkannt. Ähnlich wie DeathRing wird Mouabad ebenfalls an einer bestimmten Stelle in der Lieferkette vorinstalliert und betrifft vorwiegend asiatische Länder. Es wurden jedoch auch Fälle in Spanien entdeckt.

Leider ist es Anbietern von Sicherheitslösungen nicht möglich, diese Malware zu entfernen, weil sie im Systemverzeichnis des Smartphones vorinstalliert ist. Mit folgenden Tipps können Sie jedoch für Ihre Sicherheit sorgen:

  • Sie sollten wissen, woher das gekaufte Gerät kommt.
  • Laden Sie eine App für mobile Sicherheit wie die App von Lookout herunter, die Sie vor Malware schützt: Wenn Sie eine Warnung erhalten, dass sich Malware wie diese auf dem Gerät befindet, sollten Sie es reklamieren.
  • Überprüfen Sie regelmäßig Ihre Smartphone-Rechnung auf erhöhte Gebühren.
19. November 2014

Das neue NotCompatible: Ausgereifte und schwer zu erfassende Bedrohung birgt Potenzial, Unternehmensnetzwerke zu schädigen

Über einen Zeitraum von zwei Jahren hat Lookout die Entwicklung von NotCompatible mitverfolgt. Es handelt sich dabei um eine Bedrohung, die von Anfang an ernst zunehmen war. Zum ersten Mal wurden in großem Stil Webseiten gehackt, um Smartphones und Tablets gezielt anzugreifen und zu infizieren.

NotCompatible.C erreicht  eine neue Dimension der Malware-Entwicklung und operativen Komplexität. Die Infrastruktur für Befehle und Kommunikation schützt sich selbst durch Redundanz und Verschlüsselung. Dadurch ist die Malware nur schwer zu definieren und hält sich am Leben ähnlich wie ein Regenwurm: Wird er durchtrennt, bildet er ein neues Körperende und erholt sich.

mehr

20. Oktober 2014

Klein, anders, kürzer, besser.

Die Entwicklung von Apps für Smartphones und Tablets befindet sich in einer Phase höchster Innovation. Phänomenale neue Funktionalitäten tauchen in Apps auf. Mit dem Wachstum und der Weiterentwicklung von Apps entwickeln sich aber auch Grauzonen – insbesondere in Hinblick darauf, wie man möglichst gut eine transparente, benutzerfreundliche Datenschutzrichtlinie präsentiert. Datenschutzrichtlinien können unglaublich lang und kompliziert sein – nicht zu vergessen die Größe der Bildschirme, die es dem Benutzer nicht unbedingt leichter macht, den langen Text zu lesen. Das Thema Datenschutzrichtlinien ist ein wichtiger Bereich, der verbessert werden kann.

lookoutprivacy-de

In den vergangenen Jahren wurden viele Schritte unternommen, um Standards innerhalb der Community der App-Entwickler festzulegen, wie Datenschutzrichtilien aussehen sollten. Im Juni 2012 haben das Center for Democracy for Technology und das Future of Privacy Forum den Leitfaden “Best Practices for Mobile Application Developers” herausgegeben. Lookout hat mit dem Leitfaden “Mobile App Advertising Guidelines” eigene Richtlinien veröffentlicht. Trotzdem veröffentlichen noch immer viele Entwickler Datenschutzrichtlinien, die für den Benutzer nur schwer zu verstehen sind. Die National Telecommunications and Information Administration hat das Problem für das vergangene Jahr erkannt und setzt sich für einen Prozess ein, um Datenschutzrichtlinien zu vereinfachen. Es wurde ein kurzes Verhaltenskodex-Formular erarbeitet. Sie können sich das wie Nährstoffangaben für den Datenschutz vorstellen. Der Kodex ist einfach zu lesen und eine ausgezeichnete Hilfsquelle für alle, die die Datenschutzrichtlinien ihrer Apps besser verstehen möchten.

07. Oktober 2014

Der Android-Browser als Einfallstor für mobile Malware

Vergangenen Monat haben wir von zwei Sicherheitslücken erfahren, die den Browser des Android Open Source Project (kurz AOSP-Browser) betreffen. Das aktuelle Problem ist jedoch weitreichender und betrifft nicht nur den AOSP-Browser, sondern auch Browser, die auf dem AOSP-Code basieren – wie beispielsweise der Samsung-Browser.

Das Problem ist innerhalb unserer Nutzer recht weit verbreitet.

mehr

23. September 2014

Warum ich die TouchID (wieder) geknackt habe und sie trotzdem großartig finde

Als im letzten Jahr das iPhone 5S herauskam, hatte ich demonstriert, wie man den raffinierten neuen TouchID-Fingerabdrucksensor knacken kann. Ein Jahr und ein iPhone 6 später habe ich es wieder getan.

mehr

02. September 2014

Haltet den Dieb! Deutsche ergreifen Initiative beim Smartphone-Klau

In Deutschland werden immer mehr Smartphone-Besitzer Opfer von Diebstählen. Laut offiziellen Zahlen von INPOL (Informationssystem der Polizei) nehmen die gemeldeten Vorfälle jedes Jahr weiter zu und erreichten 2013 einen neuen, traurigen Rekord von 236.500 gestohlenen Modellen. 2012 waren es noch 166.274 dokumentierte Fälle.

mehr