{"id":207211,"date":"2018-08-03T01:27:00","date_gmt":"2018-08-02T23:27:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=207211"},"modified":"2022-11-13T11:34:28","modified_gmt":"2022-11-13T10:34:28","slug":"145-android-play-store-apps-mit-windows-keylogger-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/03\/145-android-play-store-apps-mit-windows-keylogger-infiziert\/","title":{"rendered":"145 Android Play Store-Apps mit Windows Keylogger infiziert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Google hat 145 Android-Apps aus dem offiziellen Google Play Store entfernt. Der Grund: Diese Apps waren mit einer Windows Malware (Keylogger) infiziert. Hier ein paar Informationen zum Fall, der zeigt, wie kritisch Software-Entwicklung heute in Bezug auf Sicherheitsaspekte geworden ist. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/280a2811e38f4884b4ae6a641ff93e6b\" width=\"1\" height=\"1\"\/>Es gibt Sicherheitsmeldungen, da wei\u00dft Du nicht, ob Du lachen oder weinen sollst. Genau das ist heute der Fall. Sicherheitsforscher bei Palo Alto Networks berichten <a href=\"https:\/\/web.archive.org\/web\/20180812125510\/https:\/\/researchcenter.paloaltonetworks.com\/2018\/07\/unit42-hidden-devil-development-life-cycle-google-play-apps-infected-windows-executable-files\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> \u00fcber einen kuriosen Sicherheitsvorfall. Sie haben im offiziellen Google Play Store 145 Android-Apps aufgesp\u00fcrt, die einen Windows Keylogger enthielten. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Android-Apps mit Keylogger\" alt=\"Android-Apps mit Keylogger\" src=\"https:\/\/researchcenter.paloaltonetworks.com\/wp-content\/uploads\/2018\/07\/Google-play_2-768x415.png\" width=\"626\" height=\"338\"\/><br \/>(Android-Apps mit Keylogger, Quelle: Palo Alto Networks)<\/p>\n<p>Keine dieser Apps war unter den Top 10, einige wiesen aber \u00fcber 1.000 Installationen und 4 Sterne-Bewertungen auf. Die meisten der infizierten Android-Apps wurden zwischen Oktober 2017 und November 2017 in Google Play eingestellt. Das bedeutet, dass diese Apps mehr als ein halben Jahr in Google Play enthalten waren, bis Google diese (nach einem Hinweis von Palo Alto Networks) entfernt hat.&nbsp; <\/p>\n<p>Allerdings gaben die Infektionen R\u00e4tsel auf. Denn dieses Mal waren die 145 Google Play-Android-Apps mit b\u00f6sartigen Microsoft Windows-Executable-Dateien anstelle von b\u00f6sartigen IFrames infiziert. Konkret waren es Windows-Keylogger. Die infizierten APK-Dateien stellen keine Bedrohung f\u00fcr Android-Ger\u00e4te dar, da diese eingebetteten ausf\u00fchrbaren Windows-Bin\u00e4rdateien nur auf Windows-Systemen ausgef\u00fchrt werden k\u00f6nnen: Sie sind auf der Android-Plattform inert und unwirksam. Aber wie sollen die APK-Dateien auf Windows-Rechner kommen und dort ausgef\u00fchrt werden?<\/p>\n<h2>Des R\u00e4tsels-L\u00f6sung?<\/h2>\n<p>Die Tatsache, dass diese APK-Dateien infiziert sind, zeigt, laut Palo Alto Networks, dass die Entwickler die Software auf kompromittierten Windows-Systemen erstellen, die mit Malware infiziert sind. Diese Art der Infektion stellt eine Bedrohung f\u00fcr die gesamte Software-Lieferkette (Supply-Chain) dar. Kompromittierte Softwareentwicklungssysteme haben sich als effektive Taktik f\u00fcr gro\u00df angelegte Angriffe erwiesen (Beispiele sind KeRanger, XcodeGhost und NotPetya).<\/p>\n<p>Interessanterweise haben die Sicherheitsforscher eine Mischung aus infizierten und nicht infizierten Apps von denselben Entwicklern gefunden. Die Sicherheitsforscher glauben, der Grund daf\u00fcr k\u00f6nnte sein, dass unterschiedliche Entwicklungsumgebungen f\u00fcr verschiedene Android-Apps verwendet wurden.<\/p>\n<h2>Aktuell keine Gefahr \u2013 aber Risiken werden deutlich<\/h2>\n<p>Die b\u00f6sartigen PE-Dateien k\u00f6nnen nicht direkt unter Android ausgef\u00fchrt werden. Wenn die APK-Datei jedoch auf einem Windows-Rechner entpackt wird und die PE-Dateien versehentlich ausgef\u00fchrt werden, schl\u00e4gt der Keylogger zu. <\/p>\n<p>Kritisch d\u00fcrfte es werden, wenn deren Entwicklungssysteme mit Android-Malware infiziert werden. Und es gibt eine weitere Gefahr: Wenn die gleichen Entwickler auch Windows-basierte Software erstellen und vertreiben. (via)<\/p>\n<h2>Microsoft deckt Hawkeye Keylogger-Kampagne auf<\/h2>\n<p>Da hat Microsoft k\u00fcrzlich eine neue Malware-Kampagne aufgedeckt (danke an Blog-Leser Leon f\u00fcr den Hinweis vor einigen Tagen). Im <a href=\"https:\/\/web.archive.org\/web\/20180831221247\/https:\/\/cloudblogs.microsoft.com\/microsoftsecure\/2018\/07\/11\/hawkeye-keylogger-reborn-v8-an-in-depth-campaign-analysis\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cloud-Blog<\/a> geht Microsoft auf den Hawkeye Keylogger ein, der das Ziel hat, Informationen von Zielsystemen abzugreifen. <\/p>\n<p>Es handelt sich um eine Malware-as-a-service, die verkauft wird. Im April 2018 begannen Malware-Autoren mit dem Verkauf einer neuen Version der Malware, die sie <em>Hawkeye Keylogger &#8211; Reborn v8<\/em> nannten. Kurz darauf, am 30. April, entdeckte Office 365 Advanced Threat Protection (Office 365 ATP) eine gro\u00df angelegte Kampagne, die die neuesten Varianten dieses Keyloggers verteilt. Wird ein Entwicklerrechner mit einem solchen Keylogger infiziert und kann sich dieser unbemerkt in die entwickelten Windows-Anwendungen einklinken, wird die Malware mit jeder Software-Auslieferung verteilt. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google hat 145 Android-Apps aus dem offiziellen Google Play Store entfernt. Der Grund: Diese Apps waren mit einer Windows Malware (Keylogger) infiziert. Hier ein paar Informationen zum Fall, der zeigt, wie kritisch Software-Entwicklung heute in Bezug auf Sicherheitsaspekte geworden ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,1018,4328],"class_list":["post-207211","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=207211"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207211\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=207211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=207211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=207211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}