Sicherheit
Trojanerschwemme im Android Market?
von
Thorsten
Eggeling - 01.02.2012
Symantec meldet einen neuen Trojaner in mehreren Apps aus dem Android Market und Millionen infizierter Geräte. Andere Sicherheitsexperten sehen darin nur ein aggressives Werbe-Netzwerk.
Was ein Trojaner ist und was nicht, darüber scheinen die Meinungen auseinanderzugehen. Ein Trojaner ist gemäß Definition eine Sache, die etwas anderes enthält, als der äußere Anschein vermuten lässt. Das Trojanische Pferd der Griechen war bekanntlich nicht nur eine harmlose Holzfigur, sondern im Bauch versteckten sich gefährliche Krieger. Die Trojaner ahnten nichts Böses und holten das Holzpferd in die Stadt - ein Fehler, den Sie dann teuer bezahlen mussten.
Bei Software ist es dagegen oft schwer, die Gefährlichkeit einer Funktion richtig einzuschätzen. Was für den einen nur eine lästige Beigabe ist, ist für den anderen schon Schadsoftware.
Symantec neigt hier offenbar zu einer eher kritischen Betrachtungsweise: Laut Blog-Eintrag hat Symantec im Google Android Market verschiedene verseuchte Anwendungen entdeckt. Dabei handelt es sich vor allem um Spiele und andere Unterhaltungs-Software. Symantec identifizierte den Schädling in 13 verschiedenen Anwendungen von drei Entwicklern. Betroffen sind vor allem die kostenlosen Produkte von iApps7 Inc, Ogre Games und Redmicapps. Zu den betroffenen Anwendungen gehören unter anderem Counter Strike Ground Force, Balloon Spiel, Deal & Be Millionaire, Hit Counter Terrorist, Sexy Girls Photo Game und Stripper Touch girl. Das Sicherheitsunternehmen spricht von einer leichten Abwandlung des Trojaners Android.Tonclank. Dieser ermöglicht es Angreifern, bestimmte Befehle ausführen zu lassen und Daten zu stehlen. Der Schädling kann Browser-Lesezeichen ändern und Geräteinformationen wie IMEI- und SIM-Kartennummern auslesen. Dabei modifiziert er gleichzeitig die Browser-Startseite.
Der Android-Sicherheitsspezialist Lookout ist anderer Meinung. Bei dem vermeintlichen Schädling handelt es sich um Funktionen eines aggressiven, aber im Prinzip harmlosen Anzeigennetzwerkes (Apperhand), heißt es in einem Blog-Beitrag. Der Benutzer werde zudem bei der Installation darüber informiert, dass die Software beispielsweise die Telefon- und Seriennummer des Smartphones ausliest. Lookout bewertet die Funktionen wie folgt:
- 1. Die Software kann die IMEI-Nummer auslesen, was die eindeutige Identifizierung des Gerätes ermöglicht. Allerdings wird nur der Hash-Wert der Nummer übertragen.
- 2. Die Software kann Werbung als „Push Notification“ ausliefern. Dabei sendet ein Server Werbung auf das Smartphone. Auch wenn man kein Freund dieser Art von Werbung ist, kann man sie dennoch nicht als Schädling ansehen.
- 3. Die Software legt ein Icon auf dem Desktop ab, über das sich eine Suchmaschine aufrufen lässt. Um einen gefährlichen Link handelt es sich dabei jedoch nicht.
- 4. Die Software kann ein neues Lesezeichen im Browser anlegen. Damit wird zwar eine Grenze überschritten, aber um eine Schadfunktion handelt es sich nicht.
Letztlich muss der Nutzer der kostenlosen Apps entscheiden, ob er die Werbung in Kauf nehmen möchte. Wenn nicht, muss er für Software zahlen. Bei der De-Installation der Apps werden auch die Funktionen des Werbenetzwerkes entfernt. Wie sich Werbung aus Android-Apps über einen Ad-Blocker entfernen lässt, lesen Sie im Artikel Werbung in Android-Apps unterdrücken.
Google hat inzwischen einige der von Symantec bemängelten Apps aus dem Android Market entfernt. Dafür scheint es aber andere Gründe als die Werbeeinblendungen zu geben. Die Apps von Ogre Games beispielsweise sind nach wie vor im Market zu finden.
