Malware nimmt Gamer ins Visier: Das Sicherheitsunternehmen
Palo Alto Networks hat eine äußerst heimtückische Android-Schadsoftware entdeckt, die sich gekonnt vor Nutzern und Virenscannern verbirgt. Die Schadsoftware trägt den Namen Gunpowder und verbreitet sich derzeit in verschiedenen App-Stores von Drittanbietern in Frankreich, Spanien, Italien, den USA und weiteren Ländern. Dort tarnt sie sich als harmloser Nintendo-Emulator. Einmal installiert versucht die Malware sich über verschiedene Wege weiter zu verbreiten und Nutzer zu Zahlungen zu bewegen. Zudem spioniert Gunpowder Nutzerdaten aus.
Die Installation von Gunpowder werde indessen nicht von Virenscannern blockiert, da sich die Malware als Adware ausgibt. Virenscannern erkennen zwar Adware-Apps als solche. Weil aber keine direkte Gefahr von ihnen ausgeht, verhindern die Security-Suiten die Installation nicht. Diese Schwachstelle machen sich die Gunpowder-Entwickler zunutze, indem sie verschiedene Advertisement Libraries wie etwa Airpush im Code integriert haben.
Um eine Deinstallation durch den Nutzer zu verhindern, ist Gunpowder in einem funktionsfähigen Nintendo-Emulator integriert. Die Programmierer bedienen sich dabei an dem Grundgerüst der beliebten
Open-Source-App Nesoid und implementieren darin ihren Schadcode.
Nach der Installation fordert die App zu einer Lizenz-Zahlung über PayPal oder andere Online-Payment-Dienste auf. Dieselbe Aufforderung erscheint, wenn Nutzer die Cheat-Datenbank innerhalb der App aktivieren wollen. Falls der Nutzer beide Aufforderungen ablehnt, schlägt die App vor, ein Spiel mit einem Kontakt aus dem Adressbuch zu teilen. Der via SMS versendete Link führt jedoch zu einer anderen Variante der Gunpowder-Malware.
Weitere Spam-SMS versendet die Schadsoftware im Hintergrund während die Emulator-App pausiert ist. Dies mache es Virenscannern schwer, die eigentliche Malware auszumachen.
Daneben spioniert Gunpowder auch den Browser-Verlauf, die gespeicherten Lesezeichen sowie die auf dem Gerät installierten Software-Pakete aus.