![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Erneuter Fund von mit Malware versehener Apps im Google Play Store. Dieses Mal waren acht Apps mit einer Malware, die die Ger\u00e4te in ein Botnet integriert, betroffen. <\/p>\nErneuter Fund von mit Malware versehener Apps im Google Play Store. Dieses Mal waren acht Apps mit einer Malware, die die Ger\u00e4te in ein Botnet integriert, betroffen. <\/p>\n
<\/p>\n
Die Apps fanden sich in Google Play ausgibt, wobei Symantec schreibt, dass man Nach der Installation l\u00e4sst sich der Trojaner zur Generierung von Werbeeinnahmen \u00fcber eingeblendete Anzeigen verwenden. Die App stellt dazu eine Verbindung zu einem Command-and-Control-Server (C&C) auf Port 9001 her, um Befehle zu empfangen. Der C&C-Server fordert die App auf, einen Socket mit SOCKS zu \u00f6ffnen und auf eine Verbindung von einer angegebenen IP-Adresse auf einem bestimmten Port zu warten.<\/p>\n Eine Verbindung kommt von der angegebenen IP-Adresse auf dem angegebenen Port und es wird ein Befehl zum Verbinden mit einem Zielserver ausgegeben. Die App stellt eine Verbindung zum angeforderten Zielserver her und erh\u00e4lt eine Liste der Anzeigen und die dazugeh\u00f6rigen Metadaten (Anzeigentyp, Name der Bildschirmgr\u00f6\u00dfe). Mit dem gleichen SOCKS-Proxy-Mechanismus wird der App befohlen, sich mit einem Anzeigenserver zu verbinden und Anzeigenanforderungen zu starten.<\/p>\n Aber es gibt keinen Code, um die Werbung auch anzuzeigen. Symantec vermutet daher, dass die Trojaner die Ger\u00e4te zu einem Botnetz zusammen schalten sollten, um DDoS-Angriffe durchzuf\u00fchren. Diese Malware richtet sich in erster Linie an Anwender in den USA, ist aber auch in Russland, der Ukraine, Brasilien und Deutschland pr\u00e4sent. Weitere Details lassen sich dem Symantec-Beitrag<\/a> entnehmen.<\/p>\n (via)<\/p>\n","protected":false},"excerpt":{"rendered":" Erneuter Fund von mit Malware versehener Apps im Google Play Store. Dieses Mal waren acht Apps mit einer Malware, die die Ger\u00e4te in ein Botnet integriert, betroffen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4346,1018,4328],"class_list":["post-195535","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-app","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/195535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=195535"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/195535\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=195535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=195535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=195535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Entdeckt haben diese Apps Sicherheitsforscher von Symantec am 11. Oktober 2017, die das Ganze in diesem Blog-Beitrag<\/a> publiziert haben. Laut Symantec wird die Android-Malware als Android. Sockbot<\/a> erkannt. Es handelt sich um einen Trojaner f\u00fcr Android, der einen SOCKS-Proxy auf befallenen Ger\u00e4ten erzeugt. <\/p>\n
![\"SockBot-Trojaner\"](\"https:\/\/www.symantec.com\/connect\/sites\/default\/files\/users\/user-1013431\/assasins_1.jpg\"\/ "\\"SockBot-Trojaner\\"")
(Quelle: Symantec)<\/p>\n![](\"https:\/\/web.archive.org\/web\/20171105145843\/http:\/\/www.symantec.com\/content\/en\/us\/global\/images\/threat_writeups\/2017-101314-1353-99.1.png\")
mindestens acht solcher Apps identifiziert habe. Diese besitzen eine Installationsbasis von 600.000 bis 2,6 Millionen Ger\u00e4te. Die Malware wird mit Assassins Skins-Paketen verteilt und meldet sich mit folgendem Icon auf dem Android-Ger\u00e4t. Die Apps geben vor, Character in Minecraft (Pocket Edition) zu modifizieren. Im Hintergrund f\u00fchrt der Trojaner dann seine Aktivit\u00e4ten aus. Der Publisher der App ist der Entwickler FunBaster. Die Apps fordern folgende Berechtigungen an:<\/p>\n\n