Palo Alto Networks identifiziert Antivirus-App als Scareware

Palo Alto Networks

Palo Alto Networks hat eine Antivirus-App aus dem Google Play Store näher untersucht, die gefälschte Virenerkennungsergebnisse anzeigt, um Benutzer zum Kauf eines Premium-Services zu bewegen. Den Statistiken von Google Play zufolge haben Benutzer die App „Antivirus for Android™“ mehr als eine Million Mal heruntergeladen und die Anwendung wurde in den Top 100 der kostenlosen Apps in der Kategorie  „Tools“ aufgelistet.

„Unsere Analyse-Cloud WildFire identifizierte die App als Scareware. Am 20. Januar berichteten wir Google von diesem Problem und zwei Tage später wurde die App von Google Play entfernt“, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Dennoch gibt es eine immense Zahl an Geräten, auf denen die App mittlerweile installiert wurde.“

„Antivirus for Android™“ wurde von einer Firma namens „CTG Network Ltd.“ entwickelt. Nach der Statistik von Google Play wurde die App zwischen einer und fünf Millionen Mal heruntergeladen und installiert. Vor der Entfernung erhielt sie auch 5162 Empfehlungen und 16.531 Bewertungen, die in einer Durchschnittsbewertung von 4,0 resultierten. Laut AppBrain wurde die App auch in den Top 30 der „Top Grossing Apps“ in der Kategorie Tools in den USA, Japan, Frankreich und Südkorea aufgelistet.

Wenn ein Benutzer die Anwendung öffnet, meldet die App immer, dass sie zwei oder drei Bedrohungen auf dem Gerät identifiziert hat, einschließlich der folgenden:

  • Android.Lotoor.C, ein beliebtes Root-Exploit-Programm
  • Android.Metasploit.C, ein Tool für Sicherheitspenetrationstests
  • Android.Plankton.C, ein alter Android-Trojaner

Wenn der Benutzer auf die Schaltfläche „Reparieren“ klickt, zeigt die App an, dass eine der Bedrohungen eliminiert wurde und empfiehlt dem Anwender ein Upgrade auf die Vollversion, um die verbleibende(n) Bedrohung(en) zu entfernen. Wenn der Benutzer die Schaltfläche „Aktualisieren auf Vollschutz“ klickt, wird er aufgefordert, einen Abo-Service für4,99 US-Dollar pro Monat durch In-App-Kauf bei Google Play zu bestellen. Durch die Analyse der App-Code entdeckten die Spezialisten von Palo Alto Networks eine Vielzahl von Hinweisen, dass dieses Programm kein legitimes Antivirus-Programm, sondern eigentlich Scareware ist.

So sind die ersten „Ergebnisse“ der Bedrohungserkennung in der App fest codiert, was bedeutet, dass die App nicht wirklich etwas erkennt auf dem Smartphone. Der Entwickler hat diese „infizierten Pakete“ im Quellcode sogar direkt als „fake.virus“ benannt. Da das komplette Ergebnis „fake“ ist, ist auch die anschließende Beseitigung nicht real, die nur mit „initial_virus_cleared“ in der internen Datenbank der App markiert wird. Auch die folgende Nachricht zur Anzahl der beseitigten Bedrohungen ist fest codiert. Ein interessanter Unterschied zwischen diesem Programm und anderen Fake-AV-Anwendungen ist, dass Antivirus for Android™, nachdem der Nutzer zum Kauf überzeugt worden ist, immerhin tatsächlich einen echten Antiviren-Dienst liefert. Die App integriert eine mobile Antivirus-Engine, die von Bitdefender bereitgestellt wird. Wenn die Benutzer sich für ein Upgrade auf die Premium-Version entscheiden, scannt das AV-Tool Apps und die SD-Karte des Geräts mit dieser Engine.

Dies ist der Hauptgrund, warum das Programm als Scareware und nicht nur Fake-AV zu klassifizieren ist. Es ist nicht klar, ob die integrierte Bitdefender-AV-Engine tatsächlich auf den App-Entwickler lizenziert ist. Die Engine ruft aktualisierten Code und neue Signaturen-Updates von hxxp://api.androidsantivirus.com/Antivirus/android-Arm, gehostet auf der offiziellen Website der App.Im März 2014 wurde eine Fake-AV-App mit dem Namen „Virus Shield“ für 3,99 US-Dollar angeboten und stieg schnell an die Spitzenposition von Google Plays Liste neuer kostenpflichtiger Apps auf. Virus Shield wurde über 30.000 Mal heruntergeladen, weitaus weniger als diese jüngste Scareware, auch wenn nicht bekannt ist, wie viele Nutzer tatsächlich 4,99 US-Dollar für den monatlichen Service zahlten, bevor Google die App Antivirus für Android™ aus dem Play Store entfernt hat.

Die Tatsache, dass die Antivirus-App eine aktuelle AV-Engine enthält, die das Programm legitim erscheinen lässt, macht es schwieriger für andere Programme, die App als Scareware zu identifizieren. „Während Google diese Anwendung aus dem Play Store entfernt hat, werden wir die neuesten Android Apps weiterhin überwachen, um mithilfe von WildFire Unternehmen bestmöglichen Schutz zu bieten“, fasst Thorsten Henning zusammen.

Kategorien
News
Tags:
IT-SecurityPalo Alto NetworksScarewareSicherheit

Weitere Artikel

Palo Alto Networks zum JahreswechselCyberbedrohungen – Palo Alto Networks gibt Rückblick auf 2014 und Ausblick auf 2015 CoolReaper, entdeckt von Palo Alto NetworksPalo Alto Networks entdeckt Backdoor in Android-Geräten von Coolpad IT-Sicherheit im FinanzbereichPalo Alto Networks zu Sicherheitstrends bei Finanzdienstleistern Palo Alto NetworksGesundheitscheck: Palo Alto Networks gibt Ausblick für 2015 zur IT-Sicherheitslage im Healthcare-Bereich

Archiv

Kategorien

Back to Top