Android-Trojaner Gmobi kommt per SDK in Freeware und Firmware

Dr. Web fand ihn etwa in Gratisanwendungen von Asus und Sicherheitsanbieter Trend Micro sowie in Betriebssystem-Firmware von etwa 40 günstigen Android-Smartphones. Eigentlich soll er als Adware-Lösung dienen. Er stiehlt jedoch auch Daten und kann Software nachinstallieren.

Ein nicht nur unerwünschte Anzeigen ausliefernder Android-Trojaner ist in beliebten Anwendungen entdeckt worden. Wie Sicherheitsforscher von Dr. Web herausfanden, steckte er in der Firmware von rund 40 günstigen Android-Smartphones und in bekannten Anwendungen wie Trend Micro Dr.Safety, Dr.Booster und Asus WebStorage. Sie tauften ihn Android.Gmobi.1 oder kurz Gmobi.

Malware (Bild: Shutterstock/Blue Island)Die Anbieter der Software wurden benachrichtigt. Trend Micro hat seine Apps bereits überarbeitet und informierte ZDNet.com auf Nachfrage, es seien keine Bezahl-Apps, wohl aber die beiden Gratisversionen betroffen gewesen. Das betroffene Modul sei bewusst als Adware-Lösung eingebaut worden. Man werde mit dem Anbieter sprechen, da das Verhalten tatsächlich als bösartige Aktivität gedeutet werden könne, und lasse es bis dahin außen vor. Asus hingegen denkt noch über den besten Lösungsansatz nach.

Das läuft darauf hinaus, dass Adware nicht unbedingt ein Schadprogramm sein muss, sondern Werbung von vielen Nutzern in Kauf genommen wird, um Anwendungen und Spiele gratis beziehen zu können. Laut Beschreibung von Dr. Web können mit Gmobi jedoch Dritte aus der Ferne das Betriebssystem aktualisieren, Daten sammeln, Benachrichtigungen anzeigen (darunter Werbung) und Bezahlvorgänge durchführen.

Zu den erfassten Daten zählen E-Mail-Adressen, Roaming-Verfügbarkeit, Geräte-Informationen einschließlich Vorhandensein der App Google Play und Geodaten, also Aufenthaltsorte des Besitzers. Die gesammelten Daten sendet die Malware an einen Kommandoserver. Dieser kann in Form einer JSON-Datei Befehle zurücksenden, etwa eine bestimmte Anzeige auszuliefern, aber auch, ein Programm zu starten oder eine Verknüpfung auf dem Startbildschirm zu erstellen. Zudem lassen sich auf diese Weise zusätzliche APK-Dateien installieren.

ANZEIGE

Wie die Digitalisierung die PKW-Hersteller erfasst

Die große Anzahl von Automobilherstellern auf der CES zeigt, dass das Thema Digitalisierung auch die Automobilbranche erfasst. Um in der Zukunft wettbewerbsfähig zu sein, passen die Unternehmen ihre Struktur an und modernisieren Geschäftsprozesse.

Dr. Web weist darauf hin, dass es alle Programme als Malware einstuft, die mit dem fraglichen Entwicklerkit (SDK) erstellt wurden und die das Schadmodul daher enthalten. Es kann aber Infektionen der Firmware nicht beseitigen, da die Antivirenlösung normalerweise keine Root-Rechte hat. Und sollte sie doch mit Root-Rechten ausgeführt werden, bestünde eine hohe Wahrscheinlichkeit, das Gerät funktionsunfähig zu machen, da der Trojaner auch in kritischen Systemanwendungen stecken kann. Anwendern betroffener Geräte empfiehlt es, sich an den Hersteller zu wenden und eine Firmware ohne Trojaner zu fordern.

Das fragliche Software Development Kit, kurz SDK, versprach Entwicklern erweiterten Funktionsumfang. Den Namen des Angebots hat Dr. Web nicht genannt.

Einen ähnlichen Fall hatte FireEye im November in Form einer Anzeigenlösung für iOS entdeckt. Tausende Apps, die ursprünglich in Apples App Store veröffentlicht wurden, enthielten eine Hintertür. Die Module wurden nicht nur zum Ausliefern von Anzeigen verwendet, sondern ermöglichten Dritten auch Zugriff auf vertrauliche Nutzerdaten sowie Gerätefunktionen. Ursache des Problems war offenbar eine Version des vom chinesischen Werbedienstleister adSage veröffentlichten mobiSage SDK.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Anwendungsentwicklung, Asus, Dr. Web, Malware, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Android-Trojaner Gmobi kommt per SDK in Freeware und Firmware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *