| Experten 18. April 2013


18. April 2013

Schlechte Nachricht von BadNews

By Lookout

Zusammenfassung
Lookout hat in insgesamt 32 Anwendungen aus vier verschiedenen Entwickler-Accounts bei Google Play eine neue Malware-Familie entdeckt: BadNews. Laut der Download-Statistiken von Google Play wurden die betroffenen Anwendungen zwischen 2 und 9 Mio. Mal heruntergeladen. Wir haben Google über BadNews informiert; das Unternehmen hat alle entsprechenden Anwendungen entfernt und vorläufig die Accounts der Entwickler gesperrt, die mit diesen Anwendungen in Zusammenhang gebracht werden. Alle Lookout-Nutzer sind vor dieser neuen Bedrohung geschützt.
BadNews gibt sich als harmloses, nur leicht aggressives Ad-Netzwerk aus, ist jedoch in der Lage, falsche Nachrichten anzuzeigen, Nutzer zur Installation von Anwendungen zu bewegen und sensible Daten wie Handynummern und Gerätekennungen an einen Command & Control-Server (C&C) zu übermitteln. BadNews zeigt falsche Nachrichten an, um Geräte mit anderen betrügerischen Malware-Arten zu infizieren und schadhafte Anwendungen zu verbreiten.
Während unserer Untersuchungen haben wir registriert, dass BadNews die bekannte Premium-SMS-Malware AlphaSMS an infizierte Geräte gepusht hat.
BadNews ist eine ernstzunehmende Entwicklung in der Evolution von mobiler Malware, da diese Malware-Familie eine sehr große Verbreitung erreicht hat, indem ein Server verwendet wurde, um bösartiges Verhalten hinauszuzögern. Wenn eine Anwendung sich nicht bösartig verhält, wird sie in einem gängigen Überprüfungsprozess nicht als schadhaft erkannt und entsprechend als unbedenklich eingestuft. Wir haben zwei wichtige Erkenntnisse aus dem Auftreten von BadNews gezogen:
  1. Entwickler müssen sehr aufmerksam sein, wenn sie Drittbibliotheken in ihre Anwendungen integrieren. Unsichere Programmbibliotheken stellen ein Risiko für die Nutzer da und können den Ruf des Entwicklers schädigen.
  2. Sicherheitsmanager in Unternehmen müssen davon ausgehen, dass auch sehr hochentwickelte App-Überprüfungsprozesse nicht in der Lage sind, bösartiges Verhalten aufzudecken, wenn es noch nicht aufgetreten ist. Ein kontinuierliches Sicherheits-Monitoring ist wichtig, um bösartiges Verhalten festzustellen, das nach der ersten Einstufung einer Anwendung auftritt.
Auswirkung
Ca. 50% der identifizierten Anwendungen sind auf Russisch, und die bekannte Malware AlphaSMS ist derart konzipiert, in der Russischen Föderation und angrenzenden Ländern wie der Ukraine, Weißrussland, Armenien und Kasachstan Nutzer per Premium-SMS zu betrügen. Es ist nicht unwichtig zu wissen, dass diejenigen, die diese Malware steuern, sie auch verwenden, um ihre weniger beliebten Anwendungen zu verbreiten, die ebenfalls BadNews enthalten.

Folgende Tabelle liefert Informationen über die 32 identifizierten bösartigen Apps. Interessant sind u.a. die hohen und niedrigen Download-Begrenzungen.

Screen Shot 2013-04-18 at 9.16.29 PM

Lookouts Meinung
Die Malware-Familie BadNews ist derart aufgebaut, dass sie wie ein gewöhnliches Ad-Netzwerk Software Development Kit auftritt. Sie ist in einer Reihe harmloser Anwendungen zu finden – von russischen Wörterbücher-Apps bis hin zu beliebten Spielen. Sie verbreitet exakt die gleiche Malware, die wir in einer Reihe dubioser, affiliatebasierter Marketing-Websites beobachtet haben. Darüber hinaus haben wir festgestellt, dass BadNews die Verbreitung von Anwendungen fördert, die weniger beliebt sind, z.B. eine russische Diät-App, die ebenfalls BadNews enthält.
Es ist nicht eindeutig geklärt, ob manche oder alle dieser Anwendungen mit dem ausdrücklichen Zweck gelauncht wurden, BadNews zu enthalten, oder ob seriöse Entwickler hinters Licht geführt wurden und unwissentlich ein bösartiges Ad-Netzwerk installiert haben. Wenn wir unsere Analysen des Backend-Codes dieser angeblichen Ad-Netzwerke zu Rate ziehen, bestehen kaum Zweifel, dass BadNews ein betrügerisches Software Development Kit ist, das der Monetarisierung dient.
Wie BadNews funktioniert
Wenn BadNews aktiviert ist, werden alle vier Stunden neue Anweisungen von einem C&C-Server abgerufen und mehrere sensible Daten wie die Handynummer und die Seriennummer des Gerätes (IMEI) an den Server übermittelt.
Der C&C-Server sendet als Antwort Anweisungen, was BadNews als nächstes tun soll. Nachvollzogene Anweisungen sind z.B., dem Nutzer (falsche) Nachrichten anzuzeigen und ihn zur Installation eines heruntergeladenen App-Payloads zu bewegen.
Beispiel einer „Nachricht“:

FakeNewsResponse

Der russische Text bedeutet sinngemäß: „Wichtiges Update für Vkontakte“ und soll dem Nutzer suggerieren, dass ein Update für eine beliebte russische Social Networking-App verfügbar ist. Wir haben auch angeblich verfügbare „Updates“ für Skype entdeckt.
In beiden Fällen führt die URL zum Download von AlphaSMS, die zur Malware-Familie Toll Fraud gehört. AlphaSMS gibt vor, kostenlos verfügbare Software herunterzuladen. Stattdessen entstehen dem ahnungslosen Nutzer jedoch Kosten, die per Premium-SMS abgerechnet werden.
Wir haben die Mehrzahl der verfügbaren Download-URLs näher spezifiziert und festgestellt, dass die meisten sogenannten Endpunkte zum Download von AlphaSMS führen. Andere URL-Endpunkte führen zu anderen, ebenfalls infizierten Anwendungen bei Google Play und können als Cross-Promotion eingestuft werden.
Die APKs haben Namen wie skype_installer.apk, mail.apk und vkontakte_installer.apk. Diese Namen sollen den Nutzer dazu bringen, während der APK-Installation den angeforderten Berechtigungen zuzustimmen und tauchen auch in Zusammenhang mit der Nachricht wieder auf, dass dies im Rahmen eines wichtigen Updates geschehe.
Es hat sich herauskristallisiert, dass eine bedeutende Menge an BadNews-Code schon in anderen Malware-Familien eingesetzt wurde, die mit osteuropäischen Toll Fraud-Anwendungen in Zusammenhang stehen. Folgende Abbildung zeigt die Ähnlichkeiten der Package-Struktur, Klassifizierungen, Methodennamen und Variablen zwischen BadNews und RuPaidMarket.m auf.

Command & Control-Server

Wir haben drei C&C-Server ausgemacht: einen in Russland, einen in der Ukraine und einen in Deutschland. Alle C&C-Server sind zurzeit noch aktiv, wir arbeiten jedoch mit Nachdruck daran, sie abzuschalten.
Auf der sicheren Seite
  • Sorgen Sie dafür, dass in den Android-Systemeinstellungen der Punkt ‚Unbekannte Quellen‘ abgewählt ist, um unbekannte bzw. unbeabsichtigte Installationen von Anwendungen (Drop-by-Download) zu verhindern.
  • Laden Sie eine mobile Sicherheits-App herunter wie Lookout herunter, um Ihr Gerät und Ihre Daten vor Malware zu schützen.
   

Autor

Lookout