Suchen

Malware gliedert Android-Geräte in Botnetz ein 48 Android Apps mit Botpanda infiziert

| Redakteur: Stephan Augsten

In den Android-Marktplätzen einiger Drittanbieter finden sich seit Wochen infizierte Apps. Trend Micro hat den Schadcode „Botpanda“ getauft, da er Android-Geräte in ein Botnetz einbindet und schwer zu entdecken ist.

Firma zum Thema

Trend Micro stellt im Android-App-Markt Google Play einen Botpanda Cleaner bereit.
Trend Micro stellt im Android-App-Markt Google Play einen Botpanda Cleaner bereit.

Die Antivirus-Experten von Trend Micro hatten ursprünglich 48 Android-Apps entdeckt, die als Träger für die Malware Botpanda dienen. Am Dienstag waren noch immer 28 der infizierten Apps in Umlauf.

Botpanda verändert System-Komponenten und ist deshalb nur schwer zu entdecken. So versteckt der Schadcode beispielsweise bösartige Routinen in der dynamischen Library libvadgo.so, um eine Analyse zu erschweren. Außerdem beendet Botpanda bestimmte Prozesse, manipuliert Systembefehle und tauscht Dateien aus.

Aufgrund der weitreichenden System-Änderungen genügt es auch nicht, eine installierte, infizierte App einfach zu deinstallieren. Deshalb hat Trend Micro einen Botpanda Cleaner im Android-Marktplatz Google Play bereitgestellt, der befallene Android-Geräte in ihren ursprünglichen Zustand zurückversetzt.

Botpanda wurde offenbar mittels NDK entwickelt – ein Toolset, mit dem selbst Anfänger eigene Apps erstellen können. Die infizierten Apps selbst funktionierten laut Trend Micro einwandfrei und zeigten keinerlei auffälliges Verhalten. Die rund 31.000 betroffenen Anwender hätten von der Infektion daher erst einmal nichts gemerkt.

Die Malware-Entwickler haben sich zudem die Namen erfahrener App-Entwickler zunutze gemacht. So scheinen beispielsweise die Apps „SuperSU“ und „Chainfire3D“ vom Root-Spezialisten Chainfire zu stammen. Weitere infizierte, scheinbar nützliche Apps heißen FMR Memory Cleaner, Move2SD Enabler und Screenshot UX.

Botpanda als Testballon?

„Das Ganze könnte ein Testlauf von Cyberkriminellen sein“, vermutet Udo Schneider, Solution Architect EMEA bei Trend Micro. Ein Indiz dafür: Die Command- and Control-Server, mit denen Botpanda kommunizieren wollte, sind momentan inaktiv. „Wir gehen davon aus, dass es bald mehr solcher hervorragend getarnter Schadsoftware für Android geben wird.“

Trend Micro rät Android-Nutzern dazu, nur Apps von sorgfältig geprüften Drittanbieter-Märkten installieren. Zusätzlichen Schutz biete eine Antivirus-App wie die eigene Lösung, die auch die App-Reputation prüft. Ein Nutzer-Profil ohne Root-Rechte begrenze zusätzlich das Schadenspotenzial eines Schädlings.

(ID:34445670)