Malware »Ewind«: Trojaner-Adware kommt als Android-App

Der Securityanbieter Palo Alto Networks hat mehrere neue Samples der Android-Adware-Familie »Ewind« beobachtet. Ein vollständiger Fernzugriff auf das infizierte Gerät ist nicht ausgeschlossen.

(Foto: (Foto: © thekob5123/fotolia.com))

Die Kriminellen hinter der »Ewind«-Adware nutzen einen einfachen, aber effektiven Ansatz: Sie laden eine beliebte, reguläre Android-App herunter, dekompilieren sie, fügen ihre schädlichen Routinen hinzu und verpacken dann das Android-Anwendungspaket (APK) neu. Sie verteilen dann die »trojanisierte« Anwendung über ihre eigenen Android-App-Sites.

Zu den beliebtesten Android-Anwendungen, auf die es Ewind abgesehen hat, zählen GTA Vice City, AVG cleaner, „Minecraft - Pocket Edition, Avast!“, Ransomware Removal, VKontakte und Opera Mobile. Grundsätzlich handelt es sich bei Ewind um Adware - die Monetarisierung erfolgt also durch die Anzeige von Werbung auf dem Opfer-Gerät. Aber: Ewind enthält jedoch auch andere Funktionen wie das Sammeln von Gerätedaten und Weiterleiten von SMS-Nachrichten an den Angreifer. Die Trojaner-Adware ermöglicht vermutlich sogar einen vollständigen Fernzugriff auf das infizierte Gerät. Die Apps, die injizierte Werbung, die App-Server-Standorte und, so die Indizien, auch die Angreifer sind alle russischen Ursprungs.

Palo Alto Networks hat mit seinem Cloud-Dienst »AutoFocus« eine große Anzahl von umverpackten APKs beobachtet, die mit demselben verdächtigen Zertifikat signiert sind. Mit dem Kommandozeilen-Tool »keytool« haben die Forscher einige eindeutige Signaturzertifikat-Elemente gefunden. Der Verdacht erhärtete sich dadurch, dass viele der APKs Namen von Anti-Virus-Produkten wie AVG Cleaner und anderen bekannten Apps enthielten. Bei einem Sample des neu verpackten „AVG Cleaner“ konnten die hinzugefügten Trojaner-Komponenten in der Datei AndroidManifest.xml auf einfache Weise identifiziert werden. Diese Trojaner-Funktionen ermöglichen es unter anderem, dass Ewind Umgebungsdaten vom Gerät sammelt und an einen Command-and-Control-Server (C2-Server) sendet.

Ewind kann zudem mit dem Befehl „smsFilters“ angewiesen werden, alle SMS-Nachrichten an den C2-Server weiterzuleiten, die ein bestimmtes Filterkriterium erfüllen, etwa eine Telefonnummer oder ein Nachrichtentext. Diese Funktionalität dient wahrscheinlich dazu, um die Zwei-Faktor-Authentifizierung per SMS zu kompromittieren.