Forscher umgehen Malware-Erkennung für Android-Apps

Zwei Forscher von Duo Security haben nach eigenen Angaben eine Lücke in Googles Überprüfungsprogramm Bouncer genutzt, um Schadsoftware in Google Play einzuschmuggeln. Jon Oberheide und Charlie Miller schildern ihr Vorgehen in einem Video. Zusätzlich wollen sie es auf der Konferenz SummerCon zwischen 8. und 10. Juni demonstrieren.

Android

Das Video zeigt, wie sie eine falsche App einreichten und während der Analyse von Bouncer Remote-Zugriff bekamen. So konnten sie sich „nach interessanten Eigenschaften der Bouncer-Umgebung umsehen – etwa der genutzten Kernel-Version, dem Inhalt des Dateisystems und Informationen über die von der Bouncer-Umgebung emulierten Geräte.“

In dem Video sagt Oberheide: „Das ist nur ein Weg, um das System Bouncer zu untersuchen. So kann auch eine bösartige App sich brav geben, wenn sie in Bouncer läuft, und auf dem Gerät eines echten Anwenders Schaden anrichten.“

Bouncer hatte Google im Februar eingeführt. Es ist ein automatischer Test, um Apps auf bekannte Malware, Spyware und Trojaner zu untersuchen. Er hält Ausschau nach verdächtigen Bewegungsmustern und vergleicht sie mit denen früher analysierter Apps. Entdeckt Bouncer ein verdächtiges Verhalten oder Schadcode, folgt eine manuelle Prüfung.

In einem Blogbeitrag schreibt Duo Security, dass es die Hoffnung habe, Google werde Bouncer noch verbessern und weiterentwickeln, auch wenn es derzeit besonders raffinierten Schadcode noch nicht entdecken könne. „Wir stehen in Verbindung mit dem Sicherheitsteam für Android und arbeiten mit ihnen zusammen, um einige der entdeckten Lücken zu schließen.“

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Neueste Kommentare 

Noch keine Kommentare zu Forscher umgehen Malware-Erkennung für Android-Apps

Kommentar hinzufügen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *