Schon gestern las ich die Meldungen, dass einige Apps in den Market gelandet sein sollen, in denen ein Trojaner / Malware versteckt war. Allerdings habe ich gestern noch nicht an diesen Umfang geglaubt. Getarnt mit dem Namen und der Optik von Super Guitar Solo erschien beispielsweise die App Guitar Solo Lite im Market, die dann die schadhafte Software enthielt.
Google benötigte über eine Woche Reaktionszeit um auf Mails des Entwicklers hin die schadhafte App aus dem Market zu entfernen, nachdem dieser über Crashlogs der infizierten App informiert wurde, dass etwas nicht stimmt.
Die infizierten Apps sollen dabei die IMEI und IMSI der betroffenen Geräte an einen Server gesendet haben. Leider wurde auch ein versteckter Code entdeckt, der Inhalte aus dem Netz nachladen konnte und so ist nicht sichergestellt, was dort dann noch an schadhaftem Code runtergeladen wurde und damit übertragen oder angerichtet wurde.Die ganzen Apps erschienen unter drei verschiedenen Publishern im Market und müssten in der folgenden Liste von Symantec aufgelistet sein:
Publisher:
kingmall2010
Apps:
- 掷骰子 Version 2.4.1
- 多彩绘画 Version 1.2
- Advanced App to SD Version 1.0.1
- Magic Strobe Light Version 1.0.1
- Advanced Compass Leveler Version 1.1.1
- Super Stopwatch & Timer Version 4.3
- Sexy Legs Version 1.0.01
- Sexy Girls: Japanese Version 1.0
- Bowling Time Version 1.8
- 软件强力卸载 Version 4.2
- Music Box Version 2.5
- Best password safe Version 1.0.5
- 墨水坦克Panzer Panic Version 1.0.0
- 裸奔先生Mr. Runner Version 1.0
- Hot Sexy Girls Version 1.0
- Super sex sound Version 1.3
- 致命绝色美腿 Version 1.0.01
- Super Bluetooth Transfer Version 2.30.1
- Advanced File Manager Version 1.1.0
- Advanced Barcode Scanner Version 1.0.1
- Task Killer Pro Version 1.0.1
Publisher:
myournet
Apps:
- Spider Man Version 1.29
- 蜘蛛侠 Version 1.29
- Funny Paint Version 1.2
- Dice Roller Version 2.4.1
- 躲避弹球 Version 2.0.9
- Falling Ball Dodge Version 2.0.9
- Photo Editor Version 3.1.1
- Chess Version 2.6.1
- APP Uninstaller Version 1.6.0
- 几何战机_PewPew Version 1.5.3
- 下坠滚球_Falldown Version 1.0
- Falling Down Version 1.0
- Screaming Sexy Japanese Girls Version 1.0
- Hot Sexy Videos Version 0.1.10
- Super History Eraser Version 1.0.1
- Super Ringtone Maker Version 1.0.1
- Hilton Sex Sound Version 2.1.1
- Scientific Calculator Version 1.4.2
- Super Guitar Solo Version 1.0.1
- Super Sex Positions Version 1.0
- Advanced Currency Converter Version 1.0.1
Publisher:
we20090202
Apps:
- Basketball Shot Now Version 1.4.0
- Omok – Five in a Row Version 3.1.1
- Super Sexy Ringtones Version 3.1.4
- 手指赛跑 Finger Race Version 1.4.5
- Magic Hypnotic Spiral Version 2.0.0
- Quick Notes Version 2.1.1
- 投篮高手 Version 1.4.0
- Quick Delete Contacts Version 1.0
- Advanced Sound Manager Version 2.0.0
- Color Blindness Test Version 2.1.1
Anscheinend wurden die Apps schon vom Market gelöscht und angeblich auch per Remote-Wipe von den Endgeräten. Dennoch könnte die obige Liste zur Kontrolle oder zur Bestätigung helfen.
Hier noch eine Übersicht über die bisherigen Feststellungen aus meiner Quelle von vor einem Tag:
Link to publishers apps here. I just randomly stumbled into one of the apps, recognized it and noticed that the publisher wasn’t who it was supposed to be.
Super Guitar Solo for example is originally Guitar Solo Lite. I downloaded two of the apps and extracted the APK’s, they both contain what seems to be the “rageagainstthecage” root exploit – binary contains string “CVE-2010-EASY Android local root exploit (C) 2010 by 743C”. Don’t know what the apps actually do, but can’t be good.
I appreciate being able to publish an update to an app and the update going live instantly, but this is a bit scary. Some sort of moderation, or at least quicker reaction to malware complaints would be nice.
EDIT: After
some dexing and jaxing(where did I get these terms..) decompiling the code (with dex2jar and JD-GUI), the apps seem to be at least posting the IMEI and IMSI codes to http://184.105.245.17:8080/GMServer/GMServlet,which seems to be located in Fremont, CA.EDIT2: The apps are also installing another embedded app (hidden as assets/sqlite.db), “DownloadProvidersManager.apk”. Not sure what it does yet on top of monitoring what apps the user installs.
EDIT3: I just received a reply to an e-mail I sent out to one of the developers affected:
“Yes, thank you, I was aware of it. I have been trying for more than a week now to get Google to do something about it. I’ve contacted them through every avenue I could think of, but haven’t had a response yet…until today. It seems the developer and all his apps have been removed from the market”
So Reddit seems to be Google’s preferred customer feedback channel
EDIT4: As noted in the comments below, the developer account and the apps have been removed from the market, and the links to the apps above do not work anymore. Also I’d like to give credit to the devs at Teazel for helping in identifying the exploit yesterday.
EDIT5: Some are asking whether something they installed and uninstalled a while back might have been one of the bad apps. According to Lookout Mobile Security these malicious apps were published on two additional dev accounts on top of the one I spotted. All three accounts have been wiped from the market, but info on the apps is still available on Appbrain: Myournet, Kingmall2010 and we20090202. Kingmall2010′s account seems to be the oldest of the bunch, according to Appbrain it started publishing around Feb 11th. The other two around Feb 23rd. So find the app from Appbrain on those accounts and check the publishing date. As for what to do if you know you’re infected – I’m hoping docgravel / Lookout can provide some insight soon. Check the comments.
EDIT6: Looking at the download counts for all three accounts on Appbrain. They’re lagging behind the real counts, as they don’t update daily, so when the Market’s real download counts for Myournet yesterday totalled at 50k-200k, Appbrain is only totalling to 10k to 35k. Even so, adding Kingmall2010′s download counts from Appbrain (48k to 224k) to those I nabbed from myournet’s account on Market yesterday brings the total downloads to 98k to 424k. And that estimate is probably on the low side.
EDIT7: Symantec: “If users feel that they may have installed one of these apps, they should also check com.android.providers.downloadsmanager (DownloadManageService) in the “running services“ settings of the phone”
Die Ironie ist, dass alle gerooteten Geräte davor sicher waren, wenn der Nutzer kein Ja-Klicker war ^^
Im Grunde stimmt das schon – allerdings klicken sicher 50 % der Anwender direkt auf OK oder Installieren – anstatt zu lesen worauf irgendeine App zugreift
Diese Stelle überwinden sicherlich mehr als 50% ohne zu gucken. Aber eine SuperUser-Abfrage wird wohl nicht so einfach weggeklickt. Von manchen sicherlich, aber niemals 50% ^^
Ach das meintest du – dann hab ich mich glatt verlesen
Stimmt – SuperUser würde auffallen
Passiert ^^
Du hast es nicht verstanden, es geht nicht um die Installation. Root-User erhalten eine Superuser-Anfrage wenn eine App Root-Zugriff erlangen möchte und so eine Anfrage erscheint eigentlich sehr selten bzw. wenn man eine bestimmte Root-App zum ersten Mal startet (z.B. Rom-Manager), dieses Dialog-Fenster ist also sehr selten anzutreffen und wird mit Sicherheit eine hohe Aufmerksamkeit erzeugen. Non-Root-User haben diese Anfrage nicht!
Mal was anderes zu dem Thema:
Bereits gestern Nachmittag habe ich im offiziellen Android-Market-Forum einen Beitrag zu weiteren dubiosen Apps geschrieben, die mir beim durchstöbern des Markets aufgefallen sind. Es handelt sich dabei um zwei "Developer" die allseits bekannte Spiele wie zum Beispiel "Zuma" von Popcap Games, "Build A Lot" von Glu Mobile, "Earthworm Jim" von Gameloft und weitere Spiele als Vollversionen "for free" im Market anbieten. Die Downloadzahlen der entsprechenden Apps sind natürlich sehr hoch. Merkwürdigerweise sind die Namen der Developer alles andere als "offiziell" oder vertrauenswürdig, haben keine Website angegeben und beide Developer bieten fast die gleichen Spiele an, natürlich stets als Vollversion gekennzeichnet und das kostenlos. Wenn es sich (hoffentlich) nicht um Malware handelt dann zumindestens um Raubkopien. Aufgrund der jüngsten Ereignisse dachte ich eigentlich ich könnte damit etwas Aufmerksamkeit im Market-Forum verursachen, leider Fehlanzeige!
Hier mein Beitrag: http://www.google.com/support/forum/p/Android+Mar…
Hm – das ist natürlich schwierig. Auch oben im Beitrag hat es ja eine ganze Woche gedauert bis etwas passiert ist.
So ein kontrollierter App Store hat wohl doch seine Vorteile…
Es ist ja nicht so, dass im App Store nicht auch schon Apps gewesen wären, die bei einer sinnvollen Überprüfung NIE hätten dort gelangen dürfen… *hüstel*
Nicht mit Steinen werfen, wenn man im Glashaus sitzt
Kläre mich auf? Viren und Trojaner im App Store? Wann? Wo? Wie?
Keine Viren dafür Hakenkreuze und sonstiges was eben durch die sooo sichere Kontrolle gelangt ist.
Sorry, das ist einfach nur lächerlich. Malware gab es definitiv bereits im AppStore, u.a. hatte heise.de darüber berichtet. Auch sind besonders im AppStore viele Apps bei diversen Tests negativ aufgefallen die deutlich mehr Informationen nach Hause telefoniert haben als dem Anwender mitgeteilt worden ist. Darüber hinaus erlangen auch immer wieder diverse Apps berühmtheit die irgendwelche, von Apple normalerweise nicht zugelassene Fuktionen beinhalten was somit belegt das Apples App-Prüfung mal besser und mal schlechter funktioniert. Man denke an die populären Malen-nach-Zahlen-Apps die ganze WiFi-Hotspots beinhalteten… Ich kann nur wärmstens empfehlen mal einen Artikel über die "App-Prüfung" bei Apple zu lesen, teilweise sehr abenteuerlich was da passiert. Ist es nun wirklich von Vorteil die eigene Meinungsbildung in die Hand einer Firma zu legen? VLC lässt grüßen.
Es stimmt, zur Zeit ist es deutlich einfacher Malware dem Android-Market hinzu zu fügen als dem App Store, jedoch ist es bei beiden schon vorgekommen und wird mit Sicherheit auch weiterhin passieren. Wer so argumentiert wie du, ist entweder ein Troll oder hat einfach keine Ahnung.
Das stimmt so. Die Frage ist nur, schafft man überhaupt alles zu finden, was die Erfinder verstecken? Gerade die WiFi App, wie soll der Prüfer das finden, wenn er vielleicht nicht die Zeit hat, oder die Möglichkeiten den Quellcode zu lesen? Microsoft verspricht uns auch immer, dass Windoof sicher ist, siehe Vista, aber man kann nie alles finden. Würde mich echt wundern, wenn es einer kann. Der Vorteil von Apple ist eben, dass sie schon vorher einiges rausfiltern können, was scheinbar bei Google nicht passiert. Auch würde mich sehr interessieren, wie eine Klage in den USA gegen Apple ausgehen würde, wenn einer klagt, dass die App, obwohl von Apple geprüft Daten sendet und Schaden angerichtet hat. Da hat es Google mit ihrer Strategie leichter. Trotzdem fällt es eben sehr auf, dass es tausend Wallpaper Apps gibt und was die bewirken, wenn die auch Daten abfragen wollen, obwohl die nur ein paar Bildchen beinhalten. Das Thema wird aber dahingehend interessant, wenn ich immer mehr Hacker auf Smartphones konzentrieren. Da jeder den Code von Android sehen kann, ist das ein richtiges Sicherheitsrisiko. Apple hat es da leichter, da kommt man aktuell nur rein, wenn man ein JB Gerät hat.
Microsoft Windows und den Apple App Store kann man nicht miteinander vergleichen. Während man bei iOS ausschließlich Software aus dem "kontrollierten" App Store beziehen kann, ist es bei Windows seit jeher möglich jede Software zu installieren, egal aus welcher Quelle, was im übrigen auch einer der Gründe für die Popularität von Windows in der Vergangenheit und in der Gegenwart ist. Und genau so verhält es sich mit Android: Man kann jede APK-Datei auf ein Android-Gerät kopieren und somit in das System installieren. Google kontrolliert keine App,. Entwickler können jederzeit Apps über den Developer-Account in den Market hochladen und diese Apps sind unmittelbar danach "online". Eine Prüfung findet nur bei Beschwerden/Hinweisen statt.
Du bezeichnest es also als "Risiko" das jeder den Android-Code einsehen kann und somit vermeintliche Schwachstellen entdecken und ausnutzen kann? Dann lass uns deine Argumentation doch mal auf das geschlossene Microsoft Windows und das offene Linux übertragen. Welches der beiden Systeme ist deiner Meinung nach unsicherer?
Jetzt mal die simple frage: haette eines der im market erhaeltlichen antivirusprogramme fuer android den download bzw. Die installation verhindert?
Ueberlege schon laenger mir sowas mal zu zulegen… aber der speicher…
Screaming Sexy Japanese Girls Version 1.0 ich frag mich gerade was das wohl für eine App ist?
Wer so etwas dubioses installiert ist wohl selbst schuld.
In deinem genannten Fall geb ich dir Recht! Aaaaaber: Finger Race beispielsweise hatten wir hier auf mobiFlip sogar vorgestellt! Und da kommt evtl. NICHT jeder drauf, dass dort in einer modifizierten Version Malware enthalten ist …
Benjamin Franklin sagte einst:
"Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren."
… der golden Apple-Käfig… die Viren werden kommen, der Käfig bleibt!
Hast du auch die Abschiedsrede von KT zu Googleberg geschrieben ?
Klang ähnlich theatralisch.
Immerhin habe ich meine Quelle angegeben
was passiert, wenn man eine von den apps auf dem phone hatte?
ich kann mich erinnern, den barcode scanner advance installiert zu haben und sicherlich auch viele andere…. sonst wär er nicht in der top10 list auf appbrain aufgetaucht
Was passiert weiß aktuell noch keiner, da ja code aus dem internet nachgeladen wurde. Was in diesem letztendlich versteckt war ist nicht bekannt. Ich kann dir mal folgendes zitieren um das Problem zu beheben:
Solution 1: Get Root Explorer from the market -> open Root Explorer and navigate to /System/bin -> Create a file called Profile -> save it -> Long press on Profile and change it's permissions to: User – Read & Write, Group – Read, Others – Read
P.S only tick the ones I've mentioned above.
Solution 2: Go to the Android Market and get an app called DroidDreamKiller and install it, give it Super User permissions and then in the app click on 'Create Stop File'
Thanks to xda-developers and Androidpolice.com
———————–
Du kannst das ganze auch hier im XDA Forum mal genauer durchlesen:
http://forum.xda-developers.com/showthread.php?t=…