Palo Alto Networks entdeckt mehrere neue Samples der Android-Adware “Ewind”. Die Kriminellen hinter der Adware nutzen einen einfachen, aber effektiven Ansatz: Sie laden eine beliebte, reguläre Android-App herunter, dekompilieren sie, fügen ihre schädlichen Routinen hinzu und verpacken dann das Android Anwendungspaket (APK) neu. Die nun “trojanisierte” Anwendung verteilen sie über ihre eigenen Android-App-Sites.
Fernzugriff auf infizierte Geräte
Zu den beliebtesten Apps, auf die es “Ewind” abgesehen hat, zählen GTA Vice City, AVG Cleaner, Minecraft – Pocket Edition, Avast, Ransomware Removal, VKontakte und Opera Mobile. Grundsätzlich handelt es sich bei “Ewind” um Adware – die Monetarisierung erfolgt also durch die Werbeanzeigen auf dem Opfer-Gerät. Doch “Ewind” enthält auch andere Funktionen wie das Sammeln von Gerätedaten und Weiterleiten von SMS an den Angreifer. Vermutlich ermöglicht die Adware sogar einen vollständigen Fernzugriff auf das infizierte Gerät.
Die App, die verseuchte Werbung, Server-Standorte und auch die Angreifer sind, lt. Indizien, alle russischen Ursprungs.
Verdächtiges Zertifikat
Palo Alto Networks hat mit seinem Cloud-Dienst AutoFocus eine große Anzahl von umverpackten APKs beobachtet, welche mit demselben verdächtigen Zertifikat signiert sind. Mit dem Kommandozeilen-Tool keytool sind eindeutige Signaturzertifikat-Elemente gefunden worden. Der Verdacht erhärtete sich dadurch, dass viele der APKs Namen von Anti-Virus-Produkten wie AVG Cleaner und anderen bekannten Apps enthielten.
Bei einem Sample des neu verpackten “AVG Cleaner” konnten die hinzugefügten Trojaner-Komponenten in der Datei AndroidManifest.xml auf einfache Weise identifiziert werden. Mit diesen Trojaner-Funktionen wird es “Ewind” unter anderem ermöglicht Umgebungsdaten des Gerätes zu sammeln und an einen C2-Server zu senden.
Zudem gibt es einen Befehl, der Ewind anweist, „AdminActivity“ zu öffnen, um so Administratorzugriff auf das Gerät zu erhalten. Ein Vorteil, den die Akteure dadurch gewinnen, ist, dass es für einen technisch nicht-versierten Benutzer etwas schwieriger ist, die mit dem Trojaner versehene App zu deinstallieren.
Interessant zu beobachten war auch: Obwohl “Ewind” prüft, ob das Gerät „jailbroken“ ist, kein Code-Pfad erkennbar war, der diese Funktionalität ausnutzt. Klar ist derzeit jedoch, dass “Ewind” für mehr als nur die Darstellung von Anzeigen verwendet wird und vom C2-Server Anweisungen erhält, um bestimmte Aktionen auszuführen.
Während der Tests erhielt das Opfergerät nur bei der Nutzung von finanzbezogenen Apps den Befehl, Werbung auf dem Display darzustellen. Die einzige Anzeige, die an die „Testopfer“ geschickt wurde, stammte von der URL mobincome[.]org/banners/banner-720×1184-24.html. Wenn das Opfer auf die Werbeanzeige klickt, wird die Anwendung „mobCoin“ aus dem App-Store androidsky[.]ru heruntergeladen. Zu der Zeit, als die Forscher das Ewind-Sample analysierten, funktionierte der Download-Link jedoch nicht. Die Forscher fanden jedoch ein mit Ewind „trojanisiertes“ Sample der MobCoin-App.
Zwei-Faktor-Authentifizierung ausgehebelt
Eine weitere Kommunikationsfunktion ist „type=timer“, die als Keep-Alive-Funktion dient. “Ewind” überträgt in vordefinierten Intervallen (meist 180 plus/minus einer zufälligen Anzahl von Sekunden) eine Anfrage. In der Regel ist dies wenig von Interesse, aber die Forscher haben beobachtet, dass der Server einmal pro Tag auf diese Anfrage mit einer aktualisierten Liste von Zielanwendungen antwortet.
“Ewind” kann zudem mit dem Befehl „smsFilters“ angewiesen werden, alle SMS-Nachrichten an den C2- Server weiterzuleiten, die ein bestimmtes Filterkriterium erfüllen, etwa eine Telefonnummer oder ein Nachrichtentext. Diese Funktionalität dient wahrscheinlich dazu, um die Zwei-Faktor-Authentifizierung per SMS zu kompromittieren.
