Skip to main content

Android Mobile Malware hat Botnet-ähnliche Merkmale

Hacker zielen auf Nutzer ab von Googles Android-Betriebssystem für Mobilgeräte mit einer bösartigen Anwendung, die persönliche Informationen sammelt und an einen Remote-Server sendet.

Die Malware namens "Geinimi" scheint die erste zu sein, die auf Botnet-ähnliche Fähigkeiten ausgerichtet ist die Android-Plattform, sagte Kevin Mahaffey, Chief Technology Officer für Lookout Mobile Security, die mobile Sicherheitssoftware entwickelt.

Geinimi scheint chinesischsprachige Benutzer von Android zu zielen, und Lookout wurde an Geinimi gespendet, nachdem ein Benutzer einen betroffenen Beitrag geschrieben hatte darüber in einem Forum, sagte Mahaffey.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Lookout-Forscher, die eine Beschreibung auf Geinimi gepostet haben, haben festgestellt, dass es in Legitimität verpackt wurde aßen kostenlose und kostenpflichtige Spiele für Android-Nutzer, wobei die Entwickler der Spiele nicht wissen, dass ihre Anwendungen als Lockmittel verwendet werden.

"Wir haben Kontakt mit Entwicklern aufgenommen, um sie darüber zu informieren", sagte Mahaffey.

Diese manipulierten Anwendungen sind Auf Websites von Drittanbietern, die Android-Anwendungen anbieten, die noch nicht auf Sicherheit geprüft wurden. Einige dieser Programme scheinen Tausende Male heruntergeladen worden zu sein.

Das Unternehmen analysiert immer noch Geinimi, und es ist nicht klar, was seine Schöpfer mit dem Telefon eines Opfers erreichen wollen. Aber einige Aspekte der Malware haben bereits Bedenken ausgelöst.

Die Malware kommuniziert mit einem zentralen Command-and-Control-Server. Der Server kann Befehle per Fernzugriff an ein Telefon senden, z. B. um Software herunterzuladen oder zu deinstallieren. Der Benutzer des Android-Telefons wird aufgefordert und muss beide Aktionen genehmigen, aber es gibt immer noch Bedenken, sagte Mahaffey.

"Es könnte ein Vektor sein, andere potenziell bösartige Anwendungen zu installieren", sagte er.

Geinimi sendet auch die Standort des Android-Geräts und andere Hardware-IDs, z. B. die IMEI-Nummer (International Mobile Equipment Identity) des Geräts und SIM-Karteninformationen, alle fünf Minuten an einen Remote-Server. Es kann auch eine Liste der installierten Anwendungen des Android-Geräts senden. Die Malware kann bis zu 10 Domainnamen kontaktieren, die zum Hochladen der Informationen auf den Remote-Server verwendet werden.

Geinimi kann mehrere Domains kontaktieren und Anweisungen von einem Command-and-Control-Server abrufen, die Lookout entschieden hat Botnet-ähnliche Fähigkeiten, sagte Mahaffey.

Geinimi hat weder ein klares Profitmotiv noch eine entscheidende Motivation für den Datendiebstahl aufgedeckt, obwohl Lookout seine Analyse fortsetzt. "Es könnte alles sein, von einem sehr invasiven Werbenetzwerk bis zu einem ausgewachsenen Versuch, ein Botnetz zu schaffen", sagte Mahaffey.