Symantec rudert zurück: Counterclank ist doch keine Malware

Symantec hat seine Warnung vor dem Android-Trojaner „Counterclank“ entschärft. Demnach handelt es sich entgegen der bisherigen Angaben nicht um klassische Malware. Wie The Verge berichtet, hat der Sicherheitsanbieter auch den Begriff wieder aus der Beschreibung von Counterclank entfernt.

„Die Situation, in der wir uns befinden, ist ähnlich jener, als Adware, Spyware und potenziell unerwünschte Anwendungen zum ersten Mal auf Windows auftauchten“, heißt es im Symantec-Blog. „Viele Sicherheitsanbieter entdeckten sie anfangs nicht, aber letztlich – und mit der Zustimmung der Nutzer – entschlossen sie sich, über solche Programme zu informieren.“

Der Code von Counterclank stammt demnach von demselben Verkäufer wie Tonclank. Es handelt sich dabei um ein Unternehmen, das ein SDK an Drittentwickler ausgibt, um ihnen zu helfen, ihre Anwendungen zu Geld zu machen – primär durch die Suche.

Konkret verbinde sich der SDK-Code mit einem Remote-Server (apperhand.com), schreibt Symantec. An den verschickt er demnach folgende Informationen: SHA wie die IMEI, anhand derer sich ein Gerät eindeutig identifizieren lässt, Informationen über die App, die das SDK nutzt, sowie Marke, Hersteller, Modell und Android-Version. Darüber hinaus werden auch Daten wie Bildschirmgröße und Auflösung, Spracheinstellungen und der User Agent des Browsers übermittelt.

Danach wartet der Code nach Angaben des Sicherheitsanbieters auf ein Kommando. Darüber lässt sich demnach eine bestimmte Webseite anzeigen und die Startseite des Browsers verändern. Zudem soll die Software in der Lage sein, Lesezeichen zu erstellen oder anzufordern sowie Verknüpfungen auf dem Startbildschirm anzulegen. „Aufgrund des Verhaltens der Programme, des negativen Feedbacks von Nutzern und dem Faktum, dass vorangegangene Apps (Android.Tonclank) mit diesem Code aus dem Google Market entfernt worden waren, entschlossen wir uns, die Nutzer über Counterclank zu informieren.“

Symantec hat die Software nach eigenen Angaben Google gemeldet, das sie aber nicht entfernen will. Counterclank entspreche den AGB. Der Sicherheitsanbieter erwartet, dass er auch in Zukunft vor Anwendungen warnen wird, die dennoch im Android Market verbleiben.

Allem Anschein nach reagiert Symantec mit seinem jüngsten Blogeintrag auf Kritik vom Mobile-Security-Anbieter Lookout. Der hatte kurz nach Erscheinen der ursprünglichen Warnung gemeldet, es handle sich bei dem vermeintlichen Schadcode-Paket um „eine aggressive Form von Werbenetzwerk“. „Der durchschnittliche Android-Nutzer will Apps, die Apperhand enthalten, nicht auf seinem Gerät haben. Wir sehen aber keinen Beweis für offen schädliches Verhalten“, heißt es im Lookout-Blog.