Analysetool weckt »Schläfer«-Malware

Unerwünschte Gäste auf ihren Android-Smartphones haben offenbar Millionen von Anwendern. Denn Hacker und Cyberkriminelle nutzen immer häufiger »Schläfer«-Software, um Schadcode für mobile Geräte in Apps zu verstecken.

Schadsoftware finden
Schadsoftware finden kann man mit einem neuen Tool des SIT

Immer häufiger versteckt sich Schadcode auf Smartphones. Diese »schlafende« Malware tut zunächst einmal nichts. Erst nach einem bestimmten Zeitraum oder festgelegten Aktionen wird sie aktiv, was die Erkennung enorm erschwert. Sicherheitsforscher der TU Darmstadt und des Fraunhofer- Instituts für Sichere Informationstechnologie SIT haben deshalb jetzt das Analyse-Werkzeug Harvester entwickelt. Es dabei helfen, »Schläfer«-Schadcode in Android-Apps in Minutenschnelle zu enttarnen.

Millionen von Android-Geräten sind bereits mit solchem Schadcode infiziert, der auch als timing bombs bezeichnet wird. Auf den ersten Blick wirken diese »Bomben« wie normale Software. Ihr schädliches Potenzial entfalten sie erst nach einer längeren Inkubationszeit. Für den Smartphone-Besitzer ist es dann kaum möglich festzustellen, was die eigentliche Ursache dieses zeitverzögerten Angriffs ist. Ein aktuelles Beispiel ist der Banking-Trojaner BadAccents, ein zweistufiger Schadcode, der beim Herunterladen einer vermeintlichen Raubkopie des Films »The Interview« aufs Smartphone kommt. Aktiv werden einzelne Komponenten in BadAccents erst unter bestimmten Umständen, etwa wenn das Smartphone per SMS bestimmte Befehle empfängt.

Auch für Sicherheitsanalysten, etwa von Antiviren-Herstellern, ist schlafender Schadcode, der erst unter speziellen Ereignissen ausgelöst wird, ein Problem. Sie müssen jeden Tag mehrere Tausend neue Apps darauf prüfen, ob sie potenziell schädlich sind oder nicht. Daher bleiben für die Analyse jeder App nur wenige Minuten Zeit. Genau hier setzt das Analysetool an. Harvester untersucht nicht den gesamten Code der Original-App, sondern analysiert verdächtige Programmstellen. Mit Hilfe des Tools können Analysten einfach den Teil des Codes herausschneiden, den sie näher untersuchen wollen – alles andere wird kurzerhand weggelassen. Dadurch wird etwaiger Schadcode direkt ausgeführt und programmierte Wartezeiten sowie Ereignisfilter entfallen.

Landet das Tool einen Treffer und entdeckt Schadcode, dann lassen sich vollautomatisch wichtige Informationen (Ziel-Telefonnummern, Inhalte von SMSen, Entschlüsselungs-Schlüssel, URLs, etc.) aus dem schädlichen Android-Codes extrahieren, mit denen der Analyst auf Art und Quelle der Malware schließen kann. Für die Teilanalyse einer Codestelle benötigt Harvester nur rund eine Minute, versprechen die Forscher. Sie haben ihr Tool bereits an 13.500 gängigen Malware-Beispielen ausprobiert.