Hanau, 2. Dezember 2011

Der Antimalware-Hersteller Doctor Web entdeckte eine Vielzahl von böswilligen Programmen im Android Market. All diese Programme gehören zur Android. SmsSend-Familie und versenden SMS an kostenpflichtige Telefonnummern ohne Zustimmung des Benutzers. Nachdem sich die Sicherheitsanalysten von Doctor Web diesbezüglich mit Google in Verbindung gesetzt hatten, wurden die Anwendungen aus dem Android Market entfernt.

Die Sicherheitsanalysten von Doctor Web entdeckten im Android Market über 30 böswillige Programme, die ohne Kenntnis des Benutzers SMS an Kurznummern versendeten. Die SMS-Trojaner sind keine Neuerscheinung. Ihre Funktionsmethode ist gut bekannt und wird von Übeltätern aktiv genutzt. Die Trojaner können aber ihrem Opfer einen bedeutenden Schaden zufügen, indem ein hoher Betrag für jede versendete SMS abgebucht werden kann.

Der Android Market wird nicht das erste Mal zur Verbreitungsquelle für Malware. Früher wurden hier Trojaner-Programme wie Android.DreamExploid, Android.DDLight usw. entdeckt. Obwohl Trojaner im Android Market früher nicht selten auftauchten, ist eine solche massive Verbreitung der Schädlinge der Android.SmsSend-Familie zum ersten Mal festgestellt worden.

Zum jetzigen Zeitpunkt haben die Sicherheitsanalysten 33 böswillige Programme im Android Market entdeckt. Zur Verbreitung von Malware benutzen die Übeltäter eine interessante Methode: die meisten böswilligen Programme werden als Anwendungen präsentiert, die das Ändern eines Hintergrundbildes des Arbeitsplatzes von Android ermöglichen. Und sie können es. Die Bilder haben eine vielfältige Thematik: von Computerspielen bis zu Naturabbildern. Unter bösartigen Programmen sind auch Programme anzutreffen, die zur Erstellung von Horoskopen, Diäten usw. dienen. Es sei betont, dass sie über eine asketisch gestaltete Benutzeroberfläche verfügen, die tatsächliche Absichten der Virenschreiber tarnen soll.

Darüber hinaus benutzen die Cyber-Verbrecher eine einfache, aber effiziente Methode, um die eine höhere Bemerkbarkeit zu erreichen. Dafür werden beliebte Schlüsselwörter verwendet, die aber in Wirklichkeit keinen Bezug zum Programm haben wie z.B. das Computerspiel Angry Birds. Links zu böswilligen Programmen erscheinen im Endeffekt in den Such-Positionen im Android Market.

Das Funktionsprinzip solcher Malware ist standardmäßig. Nachdem das Programm gestartet wurde, wird dem Benutzer suggeriert, dass er sich mit Bedingungen einer vermeintlichen Lizenzvereinbarung einverstanden erklärt. Die Lizenzvereinbarung fehlt in der Regel. Das letzte Wort im Einladungstext ist als getarnter Link konzipiert, der nicht zur Lizenzvereinbarung weiterleitet, sondern dafür sorgt, dass eine kostenpflichtige SMS schnellstmöglich versendet wird.

Bei einem anderen Malware-Entwickler konnte man eine andere Funktionalität feststellen. Mit zwei Schaltflächen sollte sich der Benutzer mit einer vermeintlichen Lizenzvereinbarung erklärt haben und fortfahren. Die Lizenzvereinbarung war aber nicht vorhanden. Nachdem das Fortfahren bestätigt wurde, versucht das Programm sofort eine SMS zu versenden.

Google hat bereits dafür gesorgt, dass diese Programme aus dem Android Market entfernt wurden. Die entsprechenden Viren-Signaturen wurden in der Dr.Web Virendatenbank registriert.