c't 7/2016
S. 40
News
Sicherheit

Android-Trojaner über Amazon.de verteilt

Über den App-Shop von Amazon.de wurde ein Android-Trojaner verteilt, der das Smartphone in eine Wanze verwandeln kann.

Der App-Shop von Amazon.de wurde zur Verbreitung eines Android-Trojaners missbraucht, der umfassende Spionage-Fähigkeiten besitzt. Der Schädling kam Huckepack mit einer Gratis-App namens „Gutscheine.de“, die bis Anfang März im Shop angeboten wurde. Mit dem gleichnamigen Gutschein-Portal hat die App nichts zu tun: Die Täter haben lediglich Namen und Logo missbraucht.

Der Trojaner ist unter anderem dazu in der Lage, Kamera und Mikrofon anzuzapfen, den genauen Aufenthaltsort über GPS abzufragen und SMS-Nachrichten mitzulesen. Nachdem man die vermeintliche Gutschein-App aus dem Amazon-Store heruntergeladen und ausgeführt hat, startet ohne weiteres Zutun die Installation von „com.android.engine“, das sich umfassende Zugriffsrechte auf das Android-System einräumt. Eine Analyse von c’t zeigte, dass sich das Programm unter anderem in den Systemstart einklinkt, auf eingehende SMS-Nachrichten wartet und seinen Command-and-Control-Server (C&C) kontaktiert.

Es handelt sich bei der Android-Malware vermutlich um die funktionsreiche Spionage-Software OmniRat-A. Eine Infektion erkennt man daran, dass sich in den Android-Einstellungen unter Apps ein Eintrag namens „com.android.engine“ findet. Diese App sollte man umgehend entfernen. Um einer Neuinfektion zu entgehen, sollte man auch die App entfernen, die den Schädling aufs Gerät geschleust hat – in diesem Fall „Gutscheine.de“. Nach derzeitigem Kenntnisstand ist das Android-System anschließend wieder sauber.

Bei der Verbreitung des Schädlings sind die Täter ungewöhnlich professionell vorgegangen. Sie missbrauchten den Namen und das Logo einer bekannten deutschen Gutscheinseite, um den Eindruck zu erwecken, es sei die offizielle App der Seite. Als Entwickler gaben die Online-Ganoven die erfundene Software-Schmiede „Kuhlo Gbr“ an. Gegenüber c’t erklärte Gutscheine.de-Chef Marcus Seiden: „Es ist für uns sehr ärgerlich, dass es derartige Betrüger gibt, die unsere Marke benutzen, um kriminell zu handeln. Wir haben schnell reagiert und sind froh, dass die App aus dem Shop entfernt wurde.“ Das Unternehmen prüft derzeit rechtliche Schritte. Auch Amazon haben wir mehrfach zu dem Zwischenfall befragt – unter anderem, um in Erfahrung zu bringen, wie oft die verseuchte App installiert wurde und ob weitere Apps betroffen sind. Eine Antwort ist uns das Unternehmen bis Redaktionsschluss schuldig geblieben. (rei@ct.de)

Sie wollen wissen, wie es weitergeht?

Let’s Encrypt feiert eine Million Zertifikate

Die SSL/TLS-Zertifizierungsstelle (CA) Let’s Encrypt hat eigenen Angaben zufolge bereits eine Millionen kostenlose Zertifikate ausgestellt. Let’s Encrypt gibt an, dass mittlerweile rund 2,4 Millionen Domains auf Zertifikate der CA setzen, darunter unter anderem Wordpress.com. Derzeit sollen pro Woche rund 100 000 Zertifikate ausgestellt werden.

Anlässlich dieses Meilensteins gab es auch einen Ausblick auf die Zukunft: Anfang April soll die Infrastruktur der CA vollständig IPv6 unterstützen. Ab August will die Initiative zudem auf den Elliptic Curve Digital Signature Algorithm (ECDSA) beim Signieren der Zertifikate setzen, aktuell kommt noch RSA zum Einsatz.

Das Projekt haben unter anderem die Electronic Frontier Foundation (EFF) und Mozilla ins Leben gerufen. Die CA machte Ende 2014 das erste Mal von sich reden und startete Ende vergangenen Jahres die öffentliche Beta. Seitdem kann sich jeder Server-Betreiber kostenlos Zertifikate ausstellen lassen, die von den Browsern als vertrauenswürdig eingestuft werden. Ausführliche Hintergründe und Starthilfe auf dem Weg zum ersten Let’s-Encrypt-Zertifikat finden Sie in c’t 25/15 ab Seite 136. (des@ct.de)

Sie wollen wissen, wie es weitergeht?

Neuer SSL-Angriff durch altes Protokoll

Forscher haben einen Weg entdeckt, verschlüsselte SSL/TLS-Verbindungen zu knacken. Dazu nutzen sie ein steinaltes Protokoll, das eigentlich als ausgestorben gilt: SSLv2. Sie tauften Ihre Angriff Drown („Decrypting RSA with Obsolete and Weakend eNcryption“). Es stellte sich heraus, dass jeder dritte Server zum Zeitpunkt der Untersuchung anfällig gewesen ist, darunter etliche prominente wie Flickr, Yahoo, AVM, VMware und diverse Behördenseiten.

Die Drown-Attacke nutzt Schwächen in SSLv2, um verschlüsselte Verbindungen zu knacken, die zum Beispiel über das moderne TLS 1.2 abgewickelt werden. Das läuft so: Der Angreifer zeichnet zunächst passiv den TLS-Traffic auf. Anschließend greift er den Server über SSLv2 an, um das sogenannte Pre-Master-Secret aus dem TLS-Verkehr zu knacken. Damit kann er den zuvor aufgezeichneten Datenverkehr entschlüsseln. Wann der Datenverkehr aufgezeichnet wurde, spielt keine Rolle – ein Angreifer kann sogar Monate oder Jahre zuvor mitgeschnittene Daten knacken.

Das Forscherteam hat auf der Drown-Infopage (siehe c’t-Link) eine Abfragemöglichkeit bereitgestellt, die verrät, ob ein bestimmter Server zum Zeitpunkt der Untersuchungen verwundbar war. Um Server vor Drown zu schützen, muss man SSLv2 abschalten. SSLv2 ist nicht erst seit Drown kaputt und sollte unter keinen Umständen weiter eingesetzt werden. Welche Server-Arten betroffen sind und wie man jeweils vorzugehen hat, erklärt das Forscherteam auf seiner Seite. Aus Nutzersicht besteht kein Handlungsbedarf. (rei@ct.de)

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen