Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

Catalin Cosoi, Chief Security Researcher bei Bitdefender

Gut gemeint - aber auch gut gemacht? Ein Kommentar.

Den Android Market abzusichern ist eine gute Idee. Aber damit erlischt nicht die Notwendigkeit einer Security-Lösung, die direkt auf dem Endgerät installiert wird. Unseren Statistiken zufolge werden nur rund 0,5 Prozent der als verseucht bekannten Apps in Googles Android Market gefunden. Die Nutzer sind stets auf der Suche nach der besten App und schauen sich dabei auch Applikationen an, die nicht im Android Store, sondern in Drittanbieter-Markets erhältlich sind. Damit setzen sie sich unwissentlich weiteren Malware-Bedrohungen aus.

Laut des aktuellen Posts auf dem Google Mobile Blog, verfasst von Hiroshi Lockheimer, Vice President of Engineering on Android, wird Google ein automatisiertes Scanning des Android Market einführen, um potentiell infizierte Software zu finden.

Der neue Service, Codename Bouncer, wird eine Reihe von Analysen durchführen, sowohl bei neuen als auch bei bereits im Android Market erhältlichen Applikationen sowie bei den Entwickler-Accounts. Sobald eine Applikation hochgeladen wird, prüft sie der Service umgehend auf bekannte Malware, Spyware und Trojaner. Des Weiteren hält er Ausschau nach Verhaltensweisen, die nahelegen, dass die App schädlich ist, und vergleicht sie mit zuvor überprüften Apps, um Betrügereien ausfindig zu machen. Bouncer wird jede Applikation in der Google Cloud-Infrastruktur ausführen und simulieren, wie sie auf einem Android-basierenden Device läuft, um verborgenes bösartiges Verhalten aufzudecken. Außerdem wird er neue Entwickler-Accounts analysieren, um zu verhindern, dass wiederholt auffällige Malware-Autoren weiterhin ihre bösartigen Machenschaften verrichten.

Als Security-Unternehmen begrüßen wir diesen Schritt hin zu mehr Sicherheit im Android Market. Obwohl Mobile Malware definitiv für Aufmerksamkeit unter den Usern sorgen wird, glauben wir fest daran, dass das Problem damit allein nicht beseitigt sein wird. Anhand von Statistiken, gesammelt von Bitdefender Mobile Security, erkannten wir einen enormen Zuwachs von Malware-Familien im Jahr 2011. Während es im Jahr 2010 noch drei bis vier Malware-Bedrohungen waren, entdeckten wir im vergangenen Jahr schon mehr als 100 Malware-Familien – ein Anstieg um 4.500 Prozent, der fast 10.000 verseuchte Applikationen hervorbrachte.

Es gibt noch einige andere Websites, von denen Android-Nutzer Applikationen installieren können. In der Tat stammen die meisten infizierten Applikationen, die wir gefunden haben, von Dritt-Markets, werden also nicht direkt auf Googles Market gehostet.

Malware-Autoren gehen meist in den folgenden drei Schritten vor:
 
  • 1. Sie laden legitimierte Applikationen aus dem Android Market von Google herunter.
  • 2. Danach betten sie den Schadcode darin ein.
  • 3. Abschließend laden sie die neu gestaltete, bösartige App in einem anderen Market hoch.

Den Android Market abzusichern ist also eine gute Idee, macht aber den Einsatz einer separaten Sicherheitslösung, die auf dem Endgerät selbst installiert ist, keinesfalls überflüssig. Denn die User suchen nach Ausweichmöglichkeiten und werden definitiv auch Applikationen von Drittanbieter-Markets installieren. Laut unseren Statistiken wurden nur rund 0,5 Prozent der verseuchten Apps auf dem Android Market von Google gefunden.

Darüber hinaus – basierend auf unserer Erfahrung in puncto Malware-Analyse – werden Schadcode-Autoren nach einem Weg suchen, um die Sicherheitsvorkehrungen zu umgehen. In der den PC betreffenden Malware-Welt nutzen wir beispielsweise virtuelle Maschinen, um die Verhaltensweise der verschiedenen Samples, die wir finden, zu analysieren. Mit der Zeit haben Malware-Autoren verschiedene Routinen hinzugefügt, um herauszufinden, ob ein Virus in einer realen Computer- oder in einer virtuellen Umgebung läuft, und sie haben ihre Software so modifiziert, dass sie sich entsprechend verhält, wenn sie innerhalb einer Kontrollumgebung in Betrieb ist. Wir könnten hier dasselbe Phänomen erleben, da Bouncer ein Service ist, der alle in den Android Market hochgeladenen Apps emulieren wird. Abgesehen davon, bietet die Android API die Möglichkeit herauszufinden, ob die App in einem Emulator oder direkt auf dem jeweiligen Device läuft. Daher ist die Wahrscheinlichkeit hoch, dass wir Apps sehen werden, die sich korrekt verhalten, wenn man sie innerhalb eines Simulators anwendet, und die sich als bösartig herausstellen, wenn sie auf dem mobilen Gerät genutzt werden.

Wir gratulieren Google dazu, die Sicherheit einen Schritt nach vorn gebracht zu haben, meinen aber, dass es mehr bedarf, um Android-User tatsächlich effektiv zu schützen.
 
Catalin Cosoi, Chief Security Researcher bei Bitdefender
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet