Hokuspokus: Neue Trojaner im Android Market, die keine sind

Bei AndroidPit gerade gelesen: Und wieder: Trojaner im Market entdeckt. Symantec habe einige Apps im Android Market entdeckt, die mit dem Apperhand.SDK (aka Counterclank) infiziert seien. Diese Apps sind betroffen:

  • iApps7 Inc | Counter Elite Force
  • iApps7 Inc | Counter Strike Ground Force
  • iApps7 Inc | CounterStrike Hit Enemy
  • iApps7 Inc | Heart Live Wallpaper
  • iApps7 Inc | Hit Counter Terrorist
  • iApps7 Inc | Stripper Touch girl
  • Ogre Games | Balloon Game
  • Ogre Games | Deal & Be Millionaire
  • Ogre Games | Wild Man
  • redmicapps | Pretty women lingerie puzzle
  • redmicapps | Sexy Girls Photo Game
  • redmicapps | Sexy Girls Puzzle
  • redmicapps | Sexy Women Puzzle

Meiner Meinung nach gehen da wieder einmal die Pferde mit den Leuten durch. Bei AndroidPit wird dann noch der nette Spruch von Steve Jobs mit dem „Vorfall“ in Verbindung gebracht –  Android is for Porn – nur weil einige Titel der betroffenen Apps amouröse Namen tragen. Das ist ganz schlechter Stil!

Zum einen kann man nicht oft genug sagen, dass sich der Nutzer vor der Installation bitte unbedingt zunächst die von der neuen App geforderten Rechte (Berechtigungen ansehen) einmal anschaut. Wem diese Rechte nicht umgewöhnlich vorkommen und dann trotzdem installiert, ist selbst Schuld. Aber auch dann ist das im Falle dieser genannten Apps noch kein Beinbruch.

Die Apps sind weit weniger Trojaner und Malware, als uns Symantec, Computerworld und Heise hier glauben machen wollen. AndroidPit betet das effekt-erheischend einfach nach. Leider. Da hätte ich deutlich mehr erwartet.

Lookout hat hier eine andere, viel differenzierte und meines Erachtens auch richtigere  Sichtweise. Die Apps wurden von Symantec als Malware eingestuft. Aber sie sind es nicht wirklich. Lookout dazu:

Malware is defined as software that is designed to engage in malicious behavior on a device. Malware can also be used to steal personal information from a mobile device that could result in identity theft or financial fraud.

Was macht das Apperhand SDK?

Apperhand doesn’t appear to be malicious, and at this point in our investigation, this is an aggressive form of an ad network – not malware.

Warum?

Apperhand installiert eine Such-App auf dem Startscreen des Handys, ändert die Startseite des internen Browsers auf den gleichen Suchdienst, liest die IMEI aus, um Push-Werbung auf das Handy zu senden und noch einiges mehr, was aber alles immer mit dem Werbe-Netzwerk dahinter zu tun hat. Das ist irgendwie nicht das, was Malware macht. In diesem Fall sollte man wohl eher von Adware sprechen. Wikipedia hat da eine gute Klassifizierung von Schadprogrammen

Was macht Apperhand hier genau:

  • It is capable of identifying the user uniquely by their IMEI, for instance, but unlike some networks this SDK forward-hashes the IMEI before sending to its server. They’re identifying your device, but they are obfuscating the raw data.
  • The SDK has the capability to deliver “Push Notification” ads to the user. We’re not huge fans of push notifications, but we also don’t consider push notification advertising to be malware.
  • The SDK drops a search icon onto the desktop. Again, we consider bad form, though we don’t consider this a smoking gun for malware provided the content that is delivered is safe.  In this case, it is simply a link to a search engine.
  • The SDK also has the capability to push bookmarks to the browser.  In our opinion, this is crosses a line; although we do not believe this is cause to classify the SDK as malware.
Das wir es hier nur mit Adware zu tun haben, wird letztlich dadurch unterstrichen, dass sich die Apps ohne weiteres vollends deinstallieren lassen, ohne dass „bösartige“ Reste zurückbleiben.

Fazit:

Viel Wind um nichts. Der Nutzer sollte immer mit wachem Köpfchen bei der Installation von Apps vorgehen und einen intensiven Blick auf die Rechtefreigaben haben. Kommt einem da etwas spanisch vor, Finger weg!
Nicht alles, was als Trojaner „einsortiert“ wird, ist auch ein Trojaner. Auch hier sollte man nicht alles unreflektiert glauben, was geschrieben wird.

Wer dennoch Sorge hat, sich etwas einzufangen, kann sich eine Security Suite installieren. Absoluten Schutz bieten diese jedoch auch nicht. Sie bieten jedoch teilweise weitere interessante Feature, wie Lookout, dass ich seit einiger Zeit intensiv teste.

4 Comments

  1. Pingback:Anonymous

  2. Pingback:Trojaneralarm und das Geschäft mit der Angst » mobiFlip.de

  3. Der Überbegriff ist Malware, wie du selbst verlinkt hast. Trojaner und Adware ist laut Beschreibung eigentlich das Gleiche.

    Von mir aus kann man es auch Adware nennen, dass macht die Geschichte allerdings nicht unbedingt schöner.

    Security Suite auf dem Smartphone bringt so gut wie gar nichts.

    Gruße, Alex.

  4. Pingback:Anonymous

Comments are closed.