Android Malware Abzocke – Ein Selbstversuch
„Jede fünfte Android App greift auf private Daten zu“ sagt eine Studie. Im Forum häufen sich Anfragen nach Anti-Virus Software und Methoden wie man sich gegen Malware absichern kann. Fachzeitschriften berichten über Virenscanner die uns bei der Bekämpfung der Bedrohung helfen
Wie schlimm ist es wirklich? Wie kann man sich schützen? Um den Feind zu besiegen muss man ihn verstehen denkt sich der Autor, und begibt sich furchtlos in die Untiefen der Android Malware Abzocke. Wie es ihm ergeht, lest ihr hier.
Warnung: Ein guter Journalist überprüft alle Fakten die er schreibt, kontaktiert Beteiligte um Aussagen zu verifizieren, und stellt sicher dass er alle denkbaren Blickwinkel auf das behandelte Thema berücksichtigt. Ich bin kein Journalist. Ich überprüfe keine Medienartikel. Ich bin nur auf der Suche nach Malware.
Warum?
„Jede fünfte Android App greift auf private Daten zu“ steht im Blog. Jede fünfte App! Das sind höhere Trefferchancen als beim Überraschungsei auf eine der begehrten Sammelfiguren zu stoßen.
Seit 2007 programmiere ich für Android (ja, so lange gibt’s das schon als Beta). Seit Anfang 2009 habe ich auch ein Android Telefon. Von daher würde ich aus rein technischem Interesse gerne mal sehen wie so eine Malware App aussieht und was sie macht. Ich selbst habe bestimmt schon 100 Apps vom Market geladen und installiert. Damit sollte ich mir laut AndroidPit Blog um die 20 Apps eingefangen haben die auf private Daten zugreifen. Habe ich aber nicht. Was mache ich falsch? Was muss ich tun um endlich mal eine Malware App zu sehen?
Wo kriege ich Malware her?
In einer ersten Suche schaue ich in den diversen Android Foren. Ich werde fündig in einem deutschen Forum (link). Jemand berichtet er habe auf ein AdMob-Werbebanner in einer App (Worldcup 2010-FotMob) geklickt, und daraufhin eine SMS von einem Klingeltonanbieter (blinkogold) erhalten, die den Abschluss eines Abos bestätigt.
Damit blinkogold mir eine SMS schicken kann, muss blinkogold natürlich meine Telefonnummer kennen. Die ist der Worldcup 2010-FotMob App laut Rechtesystem aber gar nicht zugänglich. Folgt man der Argumentation und den Beschreibungen im Thread muss das etwa so ablaufen:
- Das Rechtesystem bei Android ist fehlerhaft
- AdMob (eine Google Tochter) hat einen Weg gefunden dies bösartig auszunutzen und die Telefonnummern von Usern auszulesen
- AdMob tut dies aber nur, wenn man auf blinkogold Werbung drückt. Dann übermittelt AdMob die Telefonnummer an blinkogold. Blinkogold verschickt dann eine SMS und meldet in betrügerischer Weise dem jeweiligen Telefonprovider dass der User ein Abo abgeschlossen hat, woraufhin der Telefonprovider beim User Geld eintreibt
Im erwähnten Forum nimmt man diese Argumentation ernst genug, um einen „Wichtig“ (=Sticky)-Thread zu starten auf dem User eintragen können welche Apps AdMob benutzen. Ich schiebe kurze Assoziationen an die mittelalterliche Methode des an den Pranger Stellens beiseite. Es geht um Verbraucherschutz. Da darf man in der Wahl der Mittel nicht zimperlich sein.
Zumindest habe ich damit meinen ersten Kandidaten für Malware. Im Selbstversuch lade ich Worldcup 2010-FotMob runter und klicke auf alle Anzeigen die ich sehe. Kein blinkogold, keine SMS, kein Abo. Natürlich kann man sich bei AdMob nicht aussuchen welche Anzeigen dargestellt werden. Zu dumm dass die Firma den Trick auch nur bei blinkogold Anzeigen anwendet.
Anti-Virus Software
Mein nächster Versuch: ich lade mir eine Anti-Virus Software vom Market runter. „antivirus free“ hat laut Hersteller über 800.000 Downloads und an die 20.000 Bewertungen. Die Kommentare im Market sind euphorisch, auch wenn ich keinen einzigen finden kann der sagt dass die App bei ihm tatsächlich einen Virus entfernt hätte. Dafür braucht die App so ziemlich alles an Berechtigungen was Android hergibt.
Bevor ich die Software laufen lasse, installiere ich eine App die Flurry benutzt (und somit Statistiken an Flurry sendet), mehrere Apps die AdMob und AdSense benutzen, und natürlich „Worldcup 2010-FotMob“. Um nichts unversucht zu lassen mir einen Virus einzufangen, surfe ich auf ein paar Seiten im Web die McAfee als schädlich eingestuft hat. Anschließend lasse ich „antivirus-free“ laufen.
Als erstes ermittelt antivirus-free meinen genauen Standort per GPS. Sehr gut denke ich. Damit kann es mich vor Viren in meiner unmittelbaren, räumlichen Umgebung GPS-genau warnen. Ich wähle dann die Option mein Telefon zu scannen. „antivirus free“ warnt mich vor der Bedrohung, dass ich in den Android Settings die Installation von Apps von unbekannten Quellen erlaubt habe. Das war‘s. Keine Malware, kein Virus. Ich überlege die Pro-Version für 9,99 USD zu kaufen die laut Hersteller noch mehr Sicherheit bietet, entscheide mich dann aber doch dagegen.
Offenbar liege ich mit diesem Entschluss anders als die über 10.000 User die die Pro-Version gekauft, und dem Hersteller nach Adam Riese damit über 100.000 USD an Umsatz gebracht haben. Ich überlege eine Anti-Viren App zu schreiben. Wenn ich dafür nur endlich Malware hätte um zu testen ob meine Anti-Viren App dann auch funktioniert!
Malware auf dem Android Market
Mein nächster Anlaufpunkt ist der Android Market. Meine Web-Recherche klärt mich darüber auf dass Google veröffentlichte Apps nicht pro-aktiv prüft. Jeder Nutzer kann eine App kennzeichnen wenn sie seiner Ansicht nach gegen die Google Richtlinien verstößt. Wenn dies in einem bestimmten, nur Google bekannten Ausmaß geschieht, prüft Google die App und entfernt sie gegebenenfalls innerhalb von drei Tagen aus dem Market.
Eine aus den Anfangstagen (6000 Apps im Market) stammende Zahl sagt dass dies bei ca. 1% der Apps geschieht (Quelle). Beim Großteil der entfernten Apps liegt das laut Artikel an Urheberrechtsverletzungen, oder an „Adult Content“. Sagte Steve Jobs nicht wer Porno will soll sich ein Android Telefon holen? Ich überlege kurz Steve Jobs wegen irreführender Werbung für Google Produkte zu verklagen, mache mich dann aber doch wieder auf die Suche nach Malware im Market.
In einem Bericht des Wired Magazine ist die Rede von genau zwei Entwicklern, deren Apps wegen Bösartigkeit entfernt wurden. Komme ich der Malware doch näher? Die betroffenen Apps haben behauptet den Home-Banking Zugang zu bestimmten US Banken zu beschleunigen, und den Benutzer zur Eingabe seiner log-on Daten aufgefordert. Mit diesen Daten wurde dann die Web-Seite des Home-Bankings der Bank aufgerufen, und der User eingeloggt. Weiteres ist nicht bekannt. Allerdings war die App nicht von der Bank erstellt. (Quelle) Ich lerne: eine Homebanking Anwendung die ich nicht direkt von meiner Bank erhalte, sollte ich nicht nutzen um auf das Homebanking meiner Bank zuzugreifen. Die entsprechende App wurde vom Market entfernt. Ich kann sie somit nicht persönlich testen.
AndroidPit
Vielleicht hilft mir ja der AndroidPit Blog. „Jede fünfte App“! Die Lektüre des Blogs klärt mich auf: Die „jede fünfte App“ Aussage ist lediglich die Behauptung eines Herstellers von Android Antiviren-Software, und Zugriff auf Daten ist nicht gleichzusetzen mit Missbrauch, auch wenn die Verwendung der Begriffe „Google“ und „Private Daten“ in einer Pressemitteilung natürlich genau diese Assoziation im kollektiven Bewusstsein erweckt.
Immerhin, eine Analyse von einem Anti-Viren Herstelle denke ich mir. Die werden jede Menge Malware Beispiele haben. Ich surfe auf die Web-Site von SMobile, der Firma hinter der „jede fünfte App“ Studie, und finde das dem AndroidPit Blog zugrunde liegende White Paper.
SMobile Analyse
Endlich ein paar Beispiele für bösartige Apps. „Paar“ heißt in diesem Fall wirklich genau zwei. Da ist die Homebanking Phishing App, über die schon Wired berichtet hat, und die vom Market entfernt wurde. Auch SMobile kennt diese App nur aus mündlicher Überlieferung und kann nur mutmaßen.
Als zweites wird eine App namens Spy Messages erwähnt. Diese kann man vom Market herunter laden. Einmal installiert, protokolliert die App jede SMS die ich erstelle, und schickt eine Kopie der SMS per e-mail an die Web-Site http://www.savesmsmessages.com/, wo ich mir die gesammelten SMS-Werke gegen Zahlung einer Gebühr wieder anschauen darf. Das hat SMobile nicht durch investigative Code Analyse herausgefunden. Das steht vielmehr in der App Beschreibung im Market. Als Anwendungsbeispiel wird dort genannt dass Eltern kontrollieren können welche SMS ihre Kinder schreiben.
Definitiv etwas das nach Malware aussieht. Allerdings informiert mich Android bei der Installation genau über die Rechte die diese App haben möchte, die App sagt in der Beschreibung klar was sie tut, und den User-Kommentaren entnehme ich dass dies nicht einmal richtig funktioniert. Malware habe ich mir anders vorgestellt.
Ich stelle mir vor wie ich die App heimlich auf dem Handy meiner Frau installiere um endlich heraus zu bekommen mit wem sie so viele SMS austauscht:
Sie: „Du hattest doch vorhin mein Handy“.
Ich: „Ja“
Sie: „Neben meinem Sudoku ist jetzt auf einmal so eine komische App. Die heißt „SMS Upload“. Hast Du die auch?“
Ich: „Ja, die war schon immer drauf“
Sie: „Komisch. Bei meinen Market Downloads steht die auch. MOMENT MAL! IN DER MARKET BESCHREIBUNG STEHT…“
Ich lasse den Gedanken die App zu installieren wieder fallen.
Ich suche nach weiterer Malware die SMobile gefunden hat - freue mich darauf endlich zu finden wonach ich suche: Security Exploits, Apps die sich als Adressbuch ausgeben und meine Daten an die Russenmafia verkaufen, Viren und ähnliches. Ich finde aber nichts. „Spy Messages“ ist die einzige konkrete Malware-App die SMobile aufführt.
Endlich – Malware!
Endlich finde ich einen Bericht über echte Malware bei heise online. Die App heißt WeatherFist und wurde von Forschern (Angestellten einer Hewlett-Packard Tochter) zu Demonstrationszwecken entwickelt und verbreitet. Laut heise Artikel zeigt sie standortbezogene Wetterdaten an. Der Artikel weiter: „Im Hintergrund könnte WeatherFist jedoch das Smartphone übernehmen und Kurznachrichten oder das Adressbuch auslesen sowie eine Reverse Shell zum Zugriff aus der Ferne öffnen.“
Das klingt endlich mal böse. Ich Google nach „WeatherFist“ und „Download“, werde fündig, und versuche die App zu installieren. Die angeforderten Berechtigungen sind „GPS Standort“ und „Internetzugriff“. Hinzu kommt „Telefon identifizieren“. Letzteres gibt der App meine Telefonnummer, was für eine Weather App nicht wirklich notwendig ist.
Ich klicke auf „Installieren“, und stelle fest dass mir „antivirus free“ eine Warnung ausgibt, dass die App die ich installieren möchte schädlich sei! Also doch! Ich habe eine ausgewiesene Malware gefunden die zu meinem Viren-Scanner passt!
Wie böse ist die App? Ein Blick auf den Blog-Eintrag der Forscher hilft weiter. Die App sendet meinen Standort sowie einen Code aus dem meine Telefonnummer errechnet werden kann an einen zentralen Server. Die feindliche Übernahme meines Telefons von der heise berichtet ist damit nicht möglich. Dies, so behaupten die Forscher, funktioniert mit einer bösartigen Variante ihrer Software, die sie allerdings nicht veröffentlichen. Auch hier kein Hinweis darauf dass das Android Berechtigungssystem umgangen werden konnte.
Wie schlimm ist es?
Das Ergebnis meines Selbstversuchs: Es gibt momentan 60.000 Apps auf dem Market. Ich habe an allen mir möglich erscheinenden Stellen nach Malware gesucht und umgehend installiert was ich an Verdächtigem gefunden habe. Bösartige Apps gefunden habe ich genau 2 (die Phishing App und WeatherFist).
Ich habe kein Beispiel für eine App gefunden die es geschafft hat das Android Berechtigungssystem zu umgehen. Auch alle durchsuchten seriösen Quellen liefern hier nichts. Jegliche beschriebene Malware kam als App daher, musste genau sagen welche Berechtigungen sie benötigt und ich als Nutzer musste bestätigen, dass ich die App mit all ihren geforderten Rechten wirklich installieren möchte.
Ein paar Grundlagen welche Malware auf uns zukommen könnte habe ich gefunden. Es könnten Homebanking Phishing Apps auftauchen, sowie Apps die mir vorgaukeln sie würden harmlos meine SMS verwalten, diese dann aber bösartig an Datenhändler, oder – schlimmer – an meine Frau schicken. Ich werde mir weiterhin gut überlegen welcher App ich Zugriff auf welche Daten genehmige. Meinen Viren-Scanner habe ich in der Zwischenzeit wieder deinstalliert.
Ich freue mich darauf von euren Erfahrungen zu hören.
Echt spitze, sehr amüsant, anregend und ansprechend. Cool !
Hallo
ich habe das Lidl-Phone seit dem 1. September. Ich bin seitdem der Auffassung, das Google eine DatenKrake ist die nun ihre Fangarme auf den Mobilfunkbereich ausstreckt bzw. diesen schon fest umschlungen hat wenn man die Zahlen sieht der Betriebssysteme von Smartphones.
Ich habe in den ersten Tagen Apps installiert, da wurde ich nach meinem Google-Zugangsdaten gefragt, die habe ich eingeben.
Dann sprang ständig die GPS-Maus an und meine Geo-Daten wurde irgendwo hin gesendet.
Gestern habe ich gelesen, dass die Android Händis von Google überwacht werden und das über Talk Google Apps wieder löschen kann auf jedem Händi. (Falls es ein kostenpflichtiges war, soll angeblich das Geld zurückerstattet werden.)
Ja, wo leben wir denn?
Dann habe ich meine Google-Konto Zugangsdaten löschen wollen. Das Händi sagt: "Das geht nicht, da musst du ein Hardreset machen und das Händi auf Werkseinstellung zurücksetzen." - Was ich dann tat.
Und siehe da, ich kann keine Apps mehr installieren. (Ja wo leben wir denn? Wer hat den das Sagen in meinem Händi?)
Dem Himmel sei dank gibt es Apps, die kann man downloaden und dann per Hand installieren. Ein paar hatte ich auch gesichert vor dem Hardreset, die habe ich wieder.
Also mein Misstrauen gegen Google ist durch diese Händi, (dass ich bei leibe zu schätzen weis) stark angewachsen.
George Orwell läßt grüßen - Schöne neue Welt - Der große Bruder schützt uns alle.
Super geschrieben mit einer ordentlichen Prise Humor - hat Spaß gemacht, das zu lesen. Vielen Dank =))
Schon einigermaßen blauäugig was der Kollege oben so pseudo-ausführlich beschreibt.Aber immerhin ein guter Init für dieses Thema
Es gibt sicherliich massenhaft Varianten von Malware für dieses schon. Sehr tolle Android-System.Aber bei aller überschwenglicher Begeisterung muß man auch sehen das der noch relativ kleine Benutzerkreis und Bekanntheitsgrad gegenüber zb. dem Appell-Schrott hier noch die einzige Barriere ist die Abzocker-Drecksäcke davon abhält dieses total ungesicherte Market auszubeuten .Tendenz stark ansteigend wie man hier schon lesen kann.
Ich habe auch das Vodafone-Abo von d.Rechnung abzock Problem und finde es kriminell das sich ein Provider hier in Komplizenschaft von pdüsen Typen begibt und hier ungefragt und unkontrolliert Buchungen vornimmt von meinem Geld und Konto, welches ich mir jetzt per Anwalt zurückholen darf. Wie gnädig erscheint mir dann das Angebot von Vodafone mir 20 von 140 e zu erstatten.Ich hab mir auf einem Vodafone-Guerät über eine Software die von Vodafone ausgeliefert wird lediglich ein als kostenlos angebotenes Videofilmchenfownloadprog. heruntergeladen und beim ersten klick festgestellt das die Jackass-Videos eben doch Geld kosten sollen.Also den avisierten Download gar nicht erst ausgeführt (des Videos) und Pro sofort deinstalliert.Das reicht den beiden (VODAFONE UND Abzocker) mein Geld zu stehlen??
Diese endlose Gier des Providers immer mehr Kunden durch vermeintlich Services zu locken, ging hier wohl nach hinten los.
Laßt Euch das nicht gefallen....
Mfg kn
Awesome... vielen Dank !
BOMBE!! Weiter so.... ;)
Göttlich gut geschrieben...
@ Solid Snake
wer installiert die Apps ... richtig der User, also ist auch der User verantwortlich was wer sich da antut. Ich kann nicht dem OS-Hersteller verantwortlich machen wenn sich User nicht informieren was sie sich installieren.
Gibst du dem Hausbauer die Schuld wenn dich zwielichtige Gestalten abzocken denen du bereitwillig die Tür geöffnet hast weil sie nett aussehen??
Wenn ich eine Wetter-App sehe die telefonieren will wird die einfach nicht installiert - fertig ... entweder es gibt alternativen - oder ich brauch keine Malware-Wetter-App ...
Es wird immer wieder versucht die Verantwortung auf die Hersteller zu schieben - die Leute sollten selber denken und sich nicht alles einflüstern/vorkauen lassen was gut und was schlecht ist.
Vorzüge vom deiner meinung nach gorßen Vorbild iPhone? Bevormundung pur? Apple entscheidet was du haben darfst? Du darfst dir ja nicht mal Mädels im Bikini oder Politische Karikaturen ankucken wenn sie Steve J. nicht gefallen. Nein Danke.
Der Market ist definitiv noch verbesserungswürdig, z.b. um die Soundbords und Bikiniapps zu filtern für den der sie nicht haben will, oder die 20€ teuren "Designer" Uhren ...
Die schlimmsten Feinde der Freiheit sind glückliche Sklaven - die nicht selber denken müssen sonder sich nur auf das Urteil Anderer verlassen möchten. (der erste teil ist ein Zitat)
Super giler Artikel! Großes Lob an Dich!
Das sollte mal mit ins Wiki, welche Rechte der Apps sind wofür.
Also, sorry. Aber bei normalen Apps findet man echt nichts. Ein XBOX LIVE Service für Android Handys. So etwas ist Malware. Ich habe ein paar Beispiele die Ich aber erst wieder finden müsste. Aber ansonsten super Blog.
Erstens: Klasse Artikel! Passende Headline; super ausführlich und witzig geschrieben. Danke!
Zweitens: Ich hab hin und wieder schon das unwohle Gefühl beim Installieren einer App ob all das an Rechten gebraucht wird oder nicht. Ich kenn mich beim Programmieren nicht aus ob es unter Umständen sogar sein könnte, dass nur durch falsches programmieren mehr Rechte als gewollt benötigt werden.
Oder man ist kritisch und vergisst das die und die Rechte wirklich notwendig sind.
Hier fände ich es super wenn zu jedem Recht der Programmierer kurz erwähnen könnte wozu er dies und das braucht.
Eher macht mir aber die Admob Geschichte sorgen (denke das ist das gleiche was im "Hoccer" Block auch mal erwähnt wurde. Dazu kommt denke ich bald die wirklich größere Möglichkeit der Bedrohung durch FLASH. Ich vermute das hier die Sicherheitsrisiken steigen könnten. Gleichzeitig vertrau ich aber auch Google und Co., dass sie aktiv der Sicherheit unsere Handys beitragen.
So nun ab in den Biergarten, SCHLAAAAND ;)
Beim Lesen des Artikels musste ich nur noch mit dem Kopf schütteln. Eine solch ignorante Argumentation ist unfassbar. Viele scheinen wohl zu vergessen, dass es viele Android User gibt die einfach ein günstiges Smartphone mit den Vorzügen eines Iphone haben wollten. Und diese User installieren einfach alles und so ist missbrauch vorprogrammiert. Generell verstehe ich nicht wieso jede App meine GPS Infornationen benötigt. Warum muss meine Handynummer übertragen werden. Nicht die App Ersteller tragen die Verantwortung oder Schuld sondern primär Google, die solche private Funktionen einfach ermöglichen!
Der Artikel ist soweit ganz gut. Unter Malware verstehe ich aber wohl was anderes.
Wenn für den Zugriff auf den Market ein Google Mail konto eröffnet werden muss, wenn für regelmäßige OTAs eine Registrierung incl. Smartphonekennnung notwendig ist dann arbeitet man schon mit potentieller Malware.
Jetzt muss nur noch jeder für sich entscheiden, welche Informationen von sich selbst und seinem Verhalten schützenswert sind und welche nicht.
Wenn ich sehe, wie viele persönliche Daten völlig freiwillig möglichst oft und viel gestreut werden, dann ist Malware keine Gefahr sondern eine Chance für Datensammler Geld zu verdienen.
Zum Thema Virenfinder
dieser scheint sich nicht an aktuelle Standarts zu halten
einer ist z.b. eicar auch wenn das Teil nicht auf einem Android funktioniert (bzw. funktioniert ja eh nicht weils ja nur ein Test ist)
er wird nicht gefunden.
Genau dies habe ich jetzt gemacht! Verbraucherschutz eingeschlten und Vodafone drauf hingewiesen! Werde mal sehen was w2mobile antworten und dann hier brichten...
Rate aber auf jeden Fall jedem Vodafone Kunden das "Mobile Bezahlen" in sienem Acc abzuschalten, da dies auf jeden Fall aktiv ist auch wenn es nicht so ausschaut!
Ein Abo ohne Bestätigungs-SMS von Dir ist unwirksam. Damit kannste notfalls zum Anwalt oder Verbraucherschutz gehen.
Auch ich bedanke mich für den ausgezeichnet recherchierten Artikel! Hervorragende Arbeit!
Allerdings sehe ich keinen Grund zur Entwarnung. Denn auch in Web-2.0-Zeiten geht es nicht nur darum, ob mir jemand ein Abo andreht. Es geht auch darum, ob jemand mein Surfverhalten protokolliert, meinen Aufenthaltsort trackt und das ganze speichert. Das sind private Informationen, die niemanden was angehen.
Daher installiere ich keine Apps, die sich mehr Rechte einräumen lassen, als ihr Funktionszweck offensichtlich erfordert.
Ich kann aus Erfahrung berichten was die App Worldcup 2010-FotMob angeht! Kam da auch auf einen Werbebanner für verückte Sportvideos. In meinem Fall war es dann nicht blinkogold sondern w2mobile mit Sitz in Köln und es war genau die beschriebene Praktik! SMS kam mit der Info das ich ein Abo abgeschlossen habe für 4.99 € von meinem Provider Vodafone!?! Habe dazu auch gleich im Forum gepostet und auch Vodafone kontaktet die sich da raus halten aber eigentlich deine Daten preis geben!
Bin da noch dran und warte auf Antwort wegen Gutschrift von w2mobile!!!
Danke für diesen Blogeintrag. Informativ und lustig, da kann mensch ja wirklich kaum noch was aussetzen... :)
guter blog:)
es ist aber auch eine Statistik gewesen, welche apps potentiell malware sein könnten - und wenn es sogar 9 apps im market gibt die die permission "brick" haben ... ok du hast nichts gefunden aber Vorsicht ist besser als Nachsicht und wir werden schneller malware bekommen als uns lieb ist wenn es bei komplett fehlender Kontrolle des markets bleibt!