Skip to main content

Cyberkriminelle nutzen Google Cloud Messaging zur Bekämpfung von Malware auf Android-Geräten

Cyberkriminelle kontrollieren Malware auf Android-Geräten durch einen Google-Dienst, der Entwickler ermöglicht, Nachrichten an ihre Anwendungen zu senden, laut Sicherheitsforscher von Antiviren-Hersteller Kaspersky Lab.

Mit Google Cloud Messaging (GCM) für Android können Entwickler verschiedene Arten von Nachrichten an und von auf Android-Geräten installierten Anwendungen senden und empfangen. Ein Entwickler kann beispielsweise Nachrichten, die bis zu 4 KB an strukturierten Daten enthalten, von einem Server, den der Entwickler besitzt, über einen von Google betriebenen GCM-Server an alle Benutzerinstallationen der GCM-fähigen Apps des Entwicklers senden. Die Anwendungen müssen nicht einmal auf Benutzergeräten ausgeführt werden, da die empfangenen Nachrichten vom Android-Betriebssystem übertragen werden und die Ziel-Apps aktiviert werden.

Die GCM-Nachrichtendaten können Links, Textankündigungen oder Befehle enthalten. sagte Roman Unuchek, ein führender Malware-Analyst bei Kaspersky Lab, Mittwoch in einem Blog-Post.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Forscher des Antiviren-Unternehmens haben bereits mehrere Android Malware-Bedrohungen identifiziert Verwenden Sie GCM als primären oder sekundären Befehls- und Kontrollkanal.

Einer von ihnen heißt Trojan-SMS.AndroidOS.FakeInst.a und kann Textnachrichten an Premium-Nummern senden, eingehende Textnachrichten löschen und Verknüpfungen zu bösartige Aufstellungsorte und Anzeigenbenachrichtigungen, die andere schädliche Programme als nützliche apps oder Spiele werben, sagte Unuchek.

Kaspersky fand über 4.8 Million Installern für FakeInst.a bis jetzt und während des letzten Jahres blockierte das bewegliche Virenschutzprodukt des Unternehmens über 1 60.000 versuchte Installationen dieses Trojanerprogramms, sagte der Forscher. FakeInst.a wurde in über 130 Ländern gefunden, aber es richtet sich in erster Linie an Nutzer in Russland, der Ukraine, Kasachstan und Usbekistan.

Eine weitere Android-Malware-Bedrohung, die GCM verwendet, um Befehle und Updates zu empfangen, heißt Trojan-SMS.AndroidOS .Agent.ao. Dieses Malware-Programm wird normalerweise als Porno-App getarnt, aber wie FakeInst.a dient es dazu, Textnachrichten mit hoher Rate und Display-Anzeigen im Benachrichtigungsbereich von Android zu senden.

"Insgesamt blockierte KMS mehr als 6.000 Installationsversuche Trojan-SMS.AndroidOS.Agent.ao ", sagte Unuchek. "Dieser Trojaner zielt hauptsächlich auf mobile Geräte in Großbritannien, wo 90 Prozent aller versuchten Infektionen erkannt wurden."

Andere Android-Malware-Programme, die GCM für Befehls- und Steuerungszwecke verwenden und von Kaspersky-Forschern identifiziert wurden, sind Trojan-SMS. AndroidOS.OpFake.a mit über 1 Million erkannten Samples und 60.000 Infektionsversuchen, Backdoor.AndroidOS.Maxit.a mit über 40 Varianten und 500 blockierten Installationsversuchen und Trojan-SMS.AndroidOS.Agent.az mit über 1.000 Modifikationen und 1.500 versuchten

Nicht von Benutzern oder Antivirenprogrammen blockierbar

Ein Problem mit GCM besteht darin, dass weder Benutzer noch mobile Antivirenprogramme die durch sie empfangenen schädlichen Nachrichten blockieren können, da sie vom Betriebssystem selbst geliefert werden, sagte Unuchek per E-Mail. "Antivirus-Software kann Systemaktivitäten nicht blockieren."

Die einzige Möglichkeit, diesen Kommunikationskanal zwischen Virenschreibern und ihrer Malware zu blockieren, besteht darin, die Entwicklerkonten zu sperren, deren IDs zur Registrierung von Schadprogrammen bei GCM verwendet werden. "Wir haben Google über die erkannten GCM - IDs informiert, die in Malware verwendet werden."

Gegenwärtig gibt es keine große Anzahl von Malware - Programmen, die GCM verwenden, aber solche, die es gibt, sind in einigen Teilen Westeuropas verbreitet Die Gemeinschaft der Unabhängigen Staaten (GUS) und Asien, sagte Unuchek.

GCM scheint ein sehr billiges und einfaches Instrument für Cyberkriminelle zu sein, so dass es wahrscheinlich ist, dass der Dienst in Zukunft in größerem Umfang missbraucht werden könnte, es sei denn, die Cyberkriminelle werden nicht durch Gegenmaßnahmen erhöht, sagte der Forscher.

Zusätzlich zur Deaktivierung von Entwickler-IDs, die den GCM-Dienst missbrauchen, könnte es auch eine Lösung sein, um GCM-Nachrichten aktiv auf schädliche Inhalte zu analysieren, ähnlich wie Intrusion Detection Systeme den Netzwerkverkehr analysieren, sagte Unuchek.

Google hat das getan nicht sofort auf eine Anfrage antworten und nach Informationen über die Methoden fragen, mit denen verhindert wird, dass Malware-Autoren den GCM-Dienst missbrauchen.