Vor kurzem haben Researcher von Avast den Trojaner Porn Clicker im Google Store entdeckt, der als offizielles „Dubsmash 2“ getarnt war und insgesamt über 100.000 Mal heruntergeladen wurde. Während die Klick-Betrug-Aktivitäten dieser Malware keinen direkten Schaden anrichten, wie zum Beispiel Zugangsdaten zu stehlen, generiert sie doch eine Menge Internet-Traffic, was zu einem hohen Datenverbrauch und dementsprechend je nach Vertrag zu zusätzlichen Kosten für das Opfer führen kann.

Weniger als einen Monat später haben nun ESETs Researcher entdeckt, dass sich eine Unmenge an Varianten dieser gefälschten Dubsmash-App ebenfalls ihren Weg in den offiziellen Google Play Store gebahnt haben – und zwar mit identischen Icons und Vorschau-Bildern.

Zwar handelt es sich bei Porn Clicker um eine ganz andere Art der Bedrohung als bei der Scareware, über die wir gestern berichtet haben, doch ihnen gemein ist, dass sie es geschafft haben, trotz Googles App-Scanner Bouncer in den Play Store zu gelangen.

Figure 1 Fake Dubsmash 2 from Google Play – available between May 20 and May 22

Abbildung 1: Gefälschtes Dubsmash 2 von Google Play – verfügbar vom 20. bis zum 22. Mai

Zunächst wurde der Dubsmash 2-Trojaner am 20. Mai 2015 in den Play Store hochgeladen, am 22. Mai allerdings wieder entfernt. In den zwei Tagen, die er als Download verfügbar war, wurde er 5.000 Mal heruntergeladen. Die Malware-Autoren warteten nicht lange und veröffentlichten am 23. Mai eine andere Version von Porn Clicker, der unter dem Namen Dubsmash v2 zu finden war. Nach drei Tagen war die App bereits über 10.000 Mal heruntergeladen worden.

Am 25. und am 26. Mai wurde Dubsmash 2 zum vierten bzw. fünften Mal in den Play Store hochgeladen – mit dem gleichen implementierten schädlichen Code. Es ist sehr selten, dass mehrere Versionen einer Malware mit den gleichen Funktionalitäten innerhalb so kurzer Zeit so oft in den Play Store hochgeladen werden.

Figure 2 Fake Dubsmash v2 – May 23

Abbildung 2: Gefälschtes Dubsmash v2 – 23. Mai

Figure 3 Fake Dubsmash 2 – May 25

Abbildung 3: Gefälschtes Dubsmash 2 – 25. Mai

Figure 4 Fake Dubsmash 2 – May 26

Abbildung 4: Gefälschtes Dubsmash 2 – 26. Mai

ESET-Sicherheitsprodukte erkennen diese Bedrohung als Android/Clicker. Die gefälschten Anwendungen wurden schnell aus dem Play Store entfernt, nachdem wir Google informiert hatten.

Figure 5 Android/Clicker Trojan removed from Google Play

Abbildung 5: Android/Clicker – von Google Play entfernt

Im Zuge weiterer Untersuchungen haben wir entdeckt, dass diese vier Anwendungen nicht die einzigen gefälschten Dubsmash 2 Versionen im Google Play Store waren. ESET konnte insgesamt neun Varianten dieses Trojaners identifizieren, die in der Vergangenheit vom Play Store entfernt wurden.

Figure 5 Other Dubsmash 2 variants

Abbildung 6: Andere Dubsmash 2 Varianten

Analyse

Nach der Installation wird der Nutzer kein neues Dubsmash-Icon auf seinem Gerät finden. Das Icon sowie der Name der installierten Anwendung haben nichts mit der echten Dubsmash-App gemein. Meistens wird sie als simples Arcade-Spiel oder als Systemanwendung getarnt. Nach dem Start versteckt die Anwendung ihr Start-Icon, wird aber dennoch kontinuierlich im Hintergrund ausgeführt. Sie greift dann auf Porno-Seiten zu, um hier Klick-Betrüge durchzuführen.

Figure 7 Dubsmash 2 icons

Abbildung 7: Dubsmash 2 Icons

Die schädliche Aktivität wird ausgelöst, wenn das Gerät seine Verbindung ändert. Es ist nicht schwierig, an die URL-Adresse des Servers zu gelangen, da die App-Entwickler die URLs diesmal nicht verschlüsselt haben. Die Server-URL kann im Klartext im Code gefunden werden. Es gibt allerdings eine interessante Änderung im Vergleich zur früheren Version. So wird der schädliche Code nicht ausgeführt, wenn eine Antiviren-Software auf dem Gerät installiert ist. Basierend auf Paketnamen gleicht der Trojaner die installierten Anwendungen mit den Namen von 16 Antiviren-Herstellern ab. Die Paketnamen werden dabei über HTTP dynamisch vom Server abgefragt. Sie können leicht aktualisiert und durch andere AV-Anwendungen ergänzt werden. Während der Installation des Trojaners, wird er unter Umständen nicht von allen AV-Lösungen erkannt, aber in vielen Fällen können sie die angefragte URLs blockieren, wenn sie als schädlich erkannt werden. In einem Fall nutzt der Trojaner für die Kommunikation den Server, der auch schon in der früheren Version verwendet wurde. Es ist sehr verdächtig, wenn der Nutzer gewarnt wird, dass sein Gerät versucht, Daten von einem zuvor blockierten Server abzufragen. An dieser Stelle sollten Nutzer aufhorchen.

Paketname
com.eset.ems2.gp
com.kms.free
com.avast.android.mobilesecurity
com.symantec.mobilesecurity
com.antivirus
com.drweb
com.cleanmaster.mguard
com.cleanmaster.security
com.avira.android
com.wsandroid.suite
com.drweb.pro
org.antivirus
com.s.antivirus
jp.naver.lineantivirus.android
org.antivirus.tablet
org.antivirus.tcl.plugin.trial_to_pro

Befindet sich keine dieser Anwendungen auf dem Gerät, wird die wahre Funktionalität von Dubsmash initiiert. Der Trojaner fragt bei seinem Server nach Links zu Porno-Webseiten. Diese Links werden dann alle 60 Sekunden in der WebView in einem unsichtbaren Fenster geladen, wobei ein zufälliges Klick-Muster angewendet wird.

Fazit

Es scheint, als hätte der offizielle Play Store noch einige Schwachstellen, wenn man bedenkt, dass die gleiche schädliche Anwendung innerhalb eines Monats viermal hochgeladen und den Nutzern zum Download bereitgestellt werden konnte. Die Entwickler haben den Namen einer beliebten App für ihre eigenen finanziellen Vorteile missbraucht. Wie raten Nutzern, immer die Reviews zu lesen – selbst wenn die Anwendung keine schädlichen oder verdächtigen Zugriffsrechte verlangt.

Weitere Informationen

Paketname MD5 Von ESET erkannt als
com.mym.gms BC72AD89E02C5FAA8FD84EBE9BF9E867 Android/Clicker.M
com.jet.war 8788B7C60BC9021A5F6162014D7BD1A6 Android/Clicker.L
com.lh.screens A2CCD03A1997F86FB06BD1B21556C30F Android/Clicker.M
com.jet.sman 6E20146EB52AEA41DB458F494C3ED3E6 Android/Clicker.J