Android-Trojaner über Amazon.de verteilt
Der App-Shop von Amazon.de wurde zur Verbreitung eines Android-Trojaners missbraucht, der umfassende Spionage-Fähigkeiten besitzt. Der Schädling kam Huckepack mit einer Gratis-App namens „Gutscheine.de“, die bis Anfang März im Shop angeboten wurde. Mit dem gleichnamigen Gutschein-Portal hat die App nichts zu tun: Die Täter haben lediglich Namen und Logo missbraucht.
Der Trojaner ist unter anderem dazu in der Lage, Kamera und Mikrofon anzuzapfen, den genauen Aufenthaltsort über GPS abzufragen und SMS-Nachrichten mitzulesen. Nachdem man die vermeintliche Gutschein-App aus dem Amazon-Store heruntergeladen und ausgeführt hat, startet ohne weiteres Zutun die Installation von „com.android.engine“, das sich umfassende Zugriffsrechte auf das Android-System einräumt. Eine Analyse von c’t zeigte, dass sich das Programm unter anderem in den Systemstart einklinkt, auf eingehende SMS-Nachrichten wartet und seinen Command-and-Control-Server (C&C) kontaktiert.
Es handelt sich bei der Android-Malware vermutlich um die funktionsreiche Spionage-Software OmniRat-A. Eine Infektion erkennt man daran, dass sich in den Android-Einstellungen unter Apps ein Eintrag namens „com.android.engine“ findet. Diese App sollte man umgehend entfernen. Um einer Neuinfektion zu entgehen, sollte man auch die App entfernen, die den Schädling aufs Gerät geschleust hat – in diesem Fall „Gutscheine.de“. Nach derzeitigem Kenntnisstand ist das Android-System anschließend wieder sauber.
Bei der Verbreitung des Schädlings sind die Täter ungewöhnlich professionell vorgegangen. Sie missbrauchten den Namen und das Logo einer bekannten deutschen Gutscheinseite, um den Eindruck zu erwecken, es sei die offizielle App der Seite. Als Entwickler gaben die Online-Ganoven die erfundene Software-Schmiede „Kuhlo Gbr“ an. Gegenüber c’t erklärte Gutscheine.de-Chef Marcus Seiden: „Es ist für uns sehr ärgerlich, dass es derartige Betrüger gibt, die unsere Marke benutzen, um kriminell zu handeln. Wir haben schnell reagiert und sind froh, dass die App aus dem Shop entfernt wurde.“ Das Unternehmen prüft derzeit rechtliche Schritte. Auch Amazon haben wir mehrfach zu dem Zwischenfall befragt – unter anderem, um in Erfahrung zu bringen, wie oft die verseuchte App installiert wurde und ob weitere Apps betroffen sind. Eine Antwort ist uns das Unternehmen bis Redaktionsschluss schuldig geblieben. (rei@ct.de)