Fünf Jahre FakePlayer – das sind auch fünf Jahre Android Malware

05.08.2015
G DATA Blog

Im Oktober 2010 schlug die Entdeckung von Android.Trojan.FakePlayer.A, der ersten bekannten Malware für das Android-Betriebssystem, bei uns in den G DATA SecurityLabs wie eine Bombe ein. Als sich die erste Aufregung gelegt hatte standen viele Fragen im Raum.

Die Malware schien bereits vom 5. August 2010 zu sein, wie viele Personen waren wohl bereits betroffen? Welche fiesen Tricks hatten sich die Malware Autoren ausgedacht, um uns Analysten das Leben schwer zu machen? Und was für ein Verhalten würde FakePlayer überhaupt zeigen? Unsere ersten Spekulationen waren jedenfalls mehr als wild.

Die Wirklichkeit war dann allerdings sehr ernüchternd, wenn auch - wenigstens teilweise - zum Schmunzeln. Der Programmcode war trivial, hatte mehrere Fehler und wirkte, als hätten die Entwickler sich an einem längeren Abend zum ersten Mal mit Android beschäftigt und ein paar Codeschnipsel von hier und da zusammenkopiert. Die Autoren der Malware war sogar zu faul den damaligen Standard-Klassennamen für einen neues Android-Projekt, in der damals von Google gelieferten Programmierumgebung Eclipse, zu ändern: "org.me.androidapplication1". Es gab auch eine "HelloWorld" Klasse. Das ist für die meisten Entwickler, wenn sie eine neue Programmiersprache lernen wollen, die erste Fingerübung.

Die Malware selber ist dann tatsächlich schnell erklärt: Die App gibt sich mit einem geklauten Icon des Windows Media Players als ein Mediaplayer aus. Beim Starten der App wird allerdings nur eine "Wird geladen" Meldung auf Russisch ausgegeben und als Schadfunktion werden einmalig mehrere Premium-SMS im Gesamtwert von knapp 10 USD versendet.

In den nachfolgenden Monaten gab es von der Malware in regelmäßigen Abständen neue Varianten. Wir zählten insgesamt 8 verschiedene, wobei sich jeweils das App-Icon, der App-Name oder die benutzten Premium-SMS Nummern änderten.

Seitdem hat sich einiges getan

Wie es zu erwarten war, hat sich die Android-Malware seitdem stark weiterentwickelt: aktuelle Exemplare haben mehr als den hundertfachen Code-Umfang, verstecken sich und ihre Aktionen, kommunizieren versteckt über anonymisierte Netzwerke und machen somit den Usern aber auch uns Analysten das Leben schwer. 

Auch die Anzahl der neuen Android Malware-Dateien ist seit diesen ersten Vorfällen enorm angestiegen: Zählten wir in H2 2010 lediglich 55 neue Schadprogrammtypen, brachte H2 2015 über eine Million neue Samples hervor (1.000.938). Insgesamt zählten die Experten zwischen von Juli 2010 bis Juni 2015 schon 3.959.254 neue Schaddateien. Damit steht nach dem Durchbruch der „Schallmauer of the Beast“ (Juni 2013) nun ein nächster numerischer Meilenstein bevor.

Die Android-Malware Autoren haben dabei schon längst angefangen, sich bei dem reichhaltigen Erfahrungsschatz der Windows-Malware Autoren zu bedienen. Entsprechend sind aber auch unsere eingesetzten Tools zum Analysieren und beseitigen der Malware mitgewachsen! Das berüchtigte "Wettrüsten" der Red-Queen-Hyptohese trifft leider auch hier zu.

Abschließend sagen wir nun mit einem lachenden und einem weinenden Auge:
Herzlichen Glückwunsch zum Geburtstag, FakePlayer!

Links zum Artikel:

Schützen Sie Ihr Android-Gerät mit der G DATA Internet Security FÜR ANDROID.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein