{"id":284622,"date":"2023-08-05T06:34:27","date_gmt":"2023-08-05T04:34:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284622"},"modified":"2024-01-17T17:56:39","modified_gmt":"2024-01-17T16:56:39","slug":"malware-erkennung-im-google-play-store-mit-dynamic-code-loading-umgehen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/05\/malware-erkennung-im-google-play-store-mit-dynamic-code-loading-umgehen\/","title":{"rendered":"Malware-Erkennung im Google Play Store mit Dynamic Code Loading umgehen"},"content":{"rendered":"

[English<\/a>]Falls sich jemand wundert, warum immer wieder Malware in Android-Apps gefunden wird, die ganz offiziell im Google Play Store erh\u00e4ltlich sind, gibt es eine Erkl\u00e4rung. Googles Sicherheitsteam hat nun best\u00e4tigt, dass Angreifer das dynamische Laden von Code nutzen, um die Erkennung von Malware im Play Store zu umgehen.<\/p>\n

<\/p>\n

\"\"Ich habe hier im Blog ja immer wieder mal berichtet, dass sch\u00e4dliche Android-Apps im Google Play Store entdeckt und durch Google entfernt wurden. Aber es gibt Ans\u00e4tze, dass Apps Schadcode nachladen k\u00f6nnen, obwohl die im Google Play Store eingestellte Version sauber ist.\u00a0 Auf das Thema wurde ich \u00fcber nachfolgende Diskussion auf Twitter aufmerksam. Nicolas Krassas weist auf das Problem des Dynamic Code Loading hin, mit denen sch\u00e4dliche Android-Apps die Malware-Erkennung im Google Play Store umgangen werden kann.<\/p>\n

\"Dynamic<\/a><\/p>\n

Das wurde durch das Google Cybersecurity Action Team (GCAT) jetzt best\u00e4tigt. In diesem Dokument<\/a> legen die Sicherheitsexperten von Google eine Technik namens Versionierung offen. Diese Technik verwenden Bedrohungsakteure, um die Malware-Erkennung im Google Play Store zu zu umgehen.<\/p>\n

Der Fall der iRecorder-App<\/h2>\n

Ansto\u00df war vermutlich der von ESET beschriebene Fall<\/a>, dass eine legitime Android-App iRecorder innerhalb eines Jahres pl\u00f6tzlich b\u00f6sartige Funktionen aufwies und seine Nutzer ausspionierte. Die App war im September 2021 bei Google Play verf\u00fcgbar, wobei die ESET-Forscher vermuten, dass die b\u00f6sartige Funktionalit\u00e4t wahrscheinlich erst im August 2022 zur App hinzugef\u00fcgt wurde.<\/p>\n

Der Schadcode, der der sauberen Version von iRecorder hinzugef\u00fcgt wurde, basiert auf dem quelloffenen AhMyth Android RAT (Remote Access Trojan) und wurde von ESET als AhRat bezeichnet. Die b\u00f6sartige App ist in der Lage, \u00fcber das Mikrofon des Ger\u00e4ts Audio aufzuzeichnen und Dateien zu stehlen, was darauf schlie\u00dfen l\u00e4sst, dass sie Teil einer Spionagekampagne sein k\u00f6nnte.<\/p>\n

Dynamic Code Loading<\/h2>\n

Obwohl nur weniger als 1 % der im Google Play Store eingestellten Apps sch\u00e4dliche Funktionen aufweisen, gelingt es Angreifern immer wieder die Sicherheitsmechanismen zu umgehen. Eine M\u00f6glichkeit, um die Sicherheitskontrollen von Google Play zu umgehen, ist die Versionierung. Dazu ver\u00f6ffentlicht ein Entwickler eine Version seiner App im Google Play Store (funktioniert auch bei Apple im Store), frei von Schadcode ist und die
\nPr\u00fcfungen besteht. Sp\u00e4ter erh\u00e4lt die App ein Update von einem Server eines Drittanbieters, das den Schadcode dann hinzuf\u00fcgt.<\/p>\n

Die Technik ist nicht neu, aber sie ist nach wie vor effektiv. Es gibt einen Mitre.org-Warnung T1407<\/a> vom 25. Oktober 2017, die zum 20. M\u00e4rz 2023 aktualisiert wurde, zu diesem Ansatz. Mehrere Malware wie der Banking-Trojaner SharkBot<\/em> nutzte sie, um die von Google f\u00fcr den Play Store eingef\u00fchrten Kontrollen zu umgehen. Eine g\u00e4ngige Form der Versionierung ist die Verwendung des Dynamic Code Loading (DCL). DCL steht f\u00fcr eine App, die Code von nicht vertrauensw\u00fcrdigen Quellen nachl\u00e4dt.<\/p>\n

\"<\/p>\n

Eine weitere Methode besteht in der Verschleierung (obfuscation) von sch\u00e4dlichem Code innerhalb der App. Dieser Ansatz wurde zum 26. Juli 2023 in diesem Beitrag<\/a> von einem Sicherheitsforscher beschrieben. Solche Apps k\u00f6nnen vermutlich nicht durch die Schutzma\u00dfnahmen des Play Store erkannt werden.<\/p>\n

Aufpassen ist angesagt<\/h2>\n

Die einzige M\u00f6glichkeit, die Google als Schutz vorschl\u00e4gt, besteht darin, nur Apps von vertrauensw\u00fcrdigen Quellen aus dem Google Play Store zu installieren. Sprich: M\u00f6glichst auf Apps zu verzichten, die von unbekannten Entwicklern stammen. Mein Tipp lautet, sich auch die Bewertungen anderer Nutzer und die Download-Zahlen der Apps anzuschauen und nachzusehen, welcher Entwickler hinter der App steckt.<\/p>\n

Die obigen Ans\u00e4tze basieren meiner Meinung nach immer noch auf dem \"der Nutzer ist unaufmerksam und unbedarft und installiert sich alles, was er kriegen kann\"-Ansatz. In meinen Android-B\u00fcchern f\u00fcr Einsteiger rate ich seit Jahren, sich in der Zahl der genutzten Apps zu beschr\u00e4nken und nur essentiell Ben\u00f6tigtes von bekannten Entwicklern einzusetzen. Leider wird das durch die Manie konterkariert, dass alle Welt meint, eine App f\u00fcr jeden Schei\u00df anbieten zu m\u00fcssen. Ich hatte dies bereits 2015 im Beitrag Stoppt die App-Bloatware und den App-Update-Wahn<\/a> angerissen und k\u00fcrzlich im Blog-Beitrag Der t\u00e4gliche App- und Cloud-Irrsinn<\/a> erneut aufgegriffen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Falls sich jemand wundert, warum immer wieder Malware in Android-Apps gefunden wird, die ganz offiziell im Google Play Store erh\u00e4ltlich sind, gibt es eine Erkl\u00e4rung. Googles Sicherheitsteam hat nun best\u00e4tigt, dass Angreifer das dynamische Laden von Code nutzen, um die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4328],"class_list":["post-284622","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284622"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284622\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}