Android Malware goes ‘To The Moon!‘

27.02.2014
G DATA Blog

Im aktuellen Fall handelt es sich um eine manipulierte Kopie einer populären Radio-Applikation. Das eigentliche Original wurde bereits millionenfach aus dem Google Play Store geladen und diese Beliebtheit wollen Angreifer ausnutzen, um ihre eigene App möglichst gut zu verbreiten. Angreifer haben eine trojanisierte Kopie von „TuneIn Radio Pro“ in Umlauf gebracht und missbrauchen infizierte Handys als Geldsammler für die Kryptowährung Dogecoin, wobei sie den Geräten damit unter anderem physisch schaden!

„To the moon“ beschreibt einen Ausspruch, den der Personenkreis im Jargon der Kryptowährungen benutzt, um das Aufstreben der digitalen Gelder zu beschreien und beschreiben.

Die G Data Mobile Sicherheitslösungen schützen ihre Kunden vor diesem Schädling. Erkannt wird er als Android.Trojan.MuchSad.A

Mit der Beliebtheit digitaler Währungen steigt auch deren Attraktivität für Schadcode-Autoren. Bisher konzentrierten sich die Angreifer im Bereich Mobile auf den Versand von Premium-SMS und engagierten sich auch im Bereich Datenklau. Die Experten der G Data SecurityLabs hatten bereits im Mobile MalwareReport H2 2013 prognostiziert, dass digitale Währungen ins Visier von Kriminellen geraten würden. Nun fanden sie einen Beweis dafür, dass die Cyberdiebe ahnungslose Opfer, bzw. deren Smartphones, sogar für sich im Zeichen der Kryptowährung arbeiten lassen: die trojanisierte Kopie enthält alle Funktionen des Originals, also z.B. das Abspielen von Internetradio-Streams, doch zusätzlich führt die CPU des infizierten Mobilgeräts umfangreiche Berechnungen zum Abbauen (engl.: mining) von Dogecoins durch.

Die von einem BitcoinTalk Mitglied eingeführte, und als Spaß erdachte, zu Bitcoin alternative Kryptowährung Dogecoin sorgt seit Anfang Dezember 2013 für Aufsehen. Bereits nach den ersten elf Wochen ist „DOGE“ aktuell die fünftgrößte Kryptowährung, mit einer Marktkapitalisierung von mehr als 52 Millionen US-Dollar.
Zum Vergleich: Litecoin verzeichnet etwa 346 Millionen US-Dollar und die wohl populärste Kryptowährung, Bitcoin, etwa 6,5 Milliarden US-Dollar.

Die manipulierte App

Auf den ersten Blick sind für den Benutzer zwischen der Original-App und der manipulierten Kopie keine Unterschiede in Aussehen und Funktionalität erkennbar. Der sogenannte „Miner“, der durch Berechnungen Einheiten einer digitalen Währung erstellt, wird als Zusatzfunktion zu einer manipulierten APK-Datei gepackt. „Miner“ ist das englische Wort für eine Abbaumaschine. Genau wie im Bergbau kann man sich den digitalen „Miner“ vorstellen: er benutzt die CPU-Leistung des Mobilgerätes zum Erarbeiten von digitaler Währung, wie eine Abbaumaschine die Kraft ihres Motors zum Antrieb der Schaufeln.Ein Blick auf den Programmcode der Schad-App zeigt, dass die Angreifer geschickt vorgehen: zum einen verschlüsseln sie den Schadcode, was es Malware-Analysten schwer macht, ihn ausfindig zu machen.

Zum anderen erstellen sie intelligenten Code: die Schadfunktionalität setzt aus, solange der Benutzer des Smartphones oder Tablets dieses benutzt. Beim ersten Starten der Schad-App wird ein Dienst mit dem Namen "Google Service" initialisiert, welcher nach fünf Sekunden und danach alle zwanzig Minuten überprüft, ob der Benutzer das Gerät aktiv benutzt. Ist das Gerät frei, also nicht in Benutzung, fängt die Schad-App an, Dogecoins für den Angreifer zu „minen“.

Bisher hat der Angreifer, dessen Dogecoin Wallet Adresse aus dem Quellcode herleitbar ist, bereits Transaktionen in Höhe von 1.853 Dogecoin erhalten. Diese Summe kam in nur drei Tagen zusammen. Umgerechnet sind die gesammelten Dogecoins etwa 1,94 Euro wert (Stand 26.02.2014). Auch wenn das nach einem kleinen Betrag klingt, muss man sich vor Augen halten, dass der Angreifer diesen Betrag ohne aktive Arbeit geliefert bekommt und dieser sich weiter erhöht. Je mehr Benutzer seine Schad-App installieren und je länger sie auf den Geräten verbleibt, desto schneller steigt der Betrag. Ein möglicher Anstieg des Dogecoin-Kurses könnte den Gewinn ebenfalls rasch begünstigen.

Natürlich unterliegt die Entwicklung den Kursschwankungen der Kryptowährungen. Seit der Einführung von Dogecoin stiegen die Kurse der Währung deutlich, mit dem bisherigen Höhepunkt Anfang Februar. Die Ereignisse rund um die Schließung der Plattform MtGox zum Beispiel, führten zu einem Abfall der Kurse, wenn auch auf einem hohen Niveau. Vor dem Kursabfall vor 14 Tagen wären die 1.853 gesammelten Dogecoins sogar 3,50 Euro gewesen.

Der infizierte Benutzer hat das Nachsehen

Der Schaden der durch die App entstehen kann, ist vielfältig. Besonders die hohe Belastung der CPU oder gar mehrerer CPUs, je nach Gerät unterschiedlich, kann übermäßigen Verschleiß verursachen und damit eventuell zum beschleunigten Defekt des Mobilgeräts führen. Dieser Schaden ist irreparabel und für den Benutzer sehr wahrscheinlich nicht nachvollziehbar und mehr als ärgerlich. 

Außerdem verursacht die Schad-App auch Datenverkehr. Auch wenn dieser laut der aktuellen Analyse lediglich gering ausfällt, so kann er Nutzern mit Mobilfunktarifen ohne unbegrenztes Datenvolumen Zusatzkosten verursachen. Doch auch diese Verbräuche werden vom Nutzer wahrscheinlich nicht bemerkt werden.

Die einzigen Anhaltspunkte, die ein Nutzer unter Umständen schnell stutzig machen, sind ein erhöhter Akkuverbrauch und ein Aufwärmen des Handys durch die ständige hohe Belastung während der Phasen, in denen der Benutzer das Gerät nicht aktiv nutzt. Den Akkuverbrauch könnte man in den Systemprotokollen von Android sogar sehen, jedoch greift hier sehr wahrscheinlich erneut die Tarnung als „Google Service“. Kaum ein User wird einen solchen Akkuverbraucher in Frage stellen und ihn für einen Systemprozess halten.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein