Android: Symantec entdeckt neue Botnetz-App
Das mobile Plattformen mit Blick auf die zunehmende Nutzung auch für Hersteller von Schadsoftware immer interessanter werden, ist bestens bekannt. Ein neuerlicher Fund vom Hersteller von Sicherheits-Software Symantec zeigt, dass in diesem Bereich neuerdings wohl auch Botnetze eine zunehmend relevante Rolle spielen.
Einem Blog-Eintrag zufolge hat Symantec im Android Marketplace diverse Anwendungen gefunden, die den Trojaner „Android.Counterclank“ transportieren. Dabei handelt es sich laut Symantec um eine leichte Abwandlung des bereits bekannten Trojaners „Android.Tonclank“, mit dem bestimmte Befehle über das betroffene Gerät ausgeführt und Daten abgegriffen werden können.
Verpackt wird Counterclank im Rahmen der Apps (siehe unten) in einem Paket namens „apperhand“; wird diese ausgeführt, kann sie unter Umständen über die laufenden Anwendungen eingesehen werden. Ein weiteres Zeichen für einen Befall ist ein neuer Such-Button oberhalb des Homescreens.
Durch die hohen Download-Zahlen für die betroffenen Apps geht Symantec davon aus, dass die Schadsoftware den höchsten Verbreitungsgrad der in diesem Jahr identifizierten Malware erreicht hat. Allerdings regen sich bereits Zweifel, ob die Funktionalität von Counterclank tatsächlich mit der eines Botnetzes vergleichbar bzw. verknüpfbar ist – dass 2012 im mobilen Sektor unter dem Zeichen von derlei Entwicklungen stehen wird, gilt in der Branche allerdings als ausgemacht.
Der Blog-Eintrag von Symantec hat einige Reaktionen provoziert, die die Einschätzung bzw. Kategorisierung von Counterclank in Frage stellen. So argumentiert beispielsweise eine Analyse von Symantec-Konkurrent Lookout, dass es sich hierbei nicht wie von Symantec kategorisiert um Malware oder einen Trojaner, sondern um ein aggressives Werbenetzwerk handelt.
Merkmale wie die Platzierung von Such-Icons auf dem Homescreen seien ein klassisches Merkmal dieser Netzwerke, so die Analyse von Lookout. Malware sei dagegen dadurch charakterisiert, in einer bösartigen Weise auf einem Gerät einzufallen, mit dem möglichen Ziel des Identitätsdiebstahls oder finanziellem Betrugs.
Letzteres Merkmal ist allerdings laut Symantec für Counterclank zumindest potentiell zutreffend. In der entsprechenden Beschreibung heißt es: „Könnte Informationen von dem Gerät stehlen.“ Ferner wird der Eintrag weiterhin unter dem folgenden Hinweis geführt: „Counterclank ist ein trojanisches Pferd für Android-Geräte, das Informationen stiehlt.“
Bei Lookout heißt es dagegen, dass es sich hierbei um ein weiteres Beispiel für die in letzter Zeit immer aggressiver werdenden Werbenetzwerke auf mobilen Geräten handelt, die die Grenzen der Privatsphäre und des Datenschutzes überschreiten. Genauer würden sich die dem Apperhand SDK zugeschriebenen Merkmale wie folgt gestalten:
- Es kann Nutzer über ihre IMEI-Gerätenummer identifizieren, verschleiert die konkrete Identität aber über einen Forward-Hash, bevor es sie an den Server weiterleitet.
- Es kann Push-Benachrichtigungs-Werbung an den Nutzer senden – eine problematische Eigenschaft, die aber nicht die Einschätzung als Malware rechtfertige.
- Dasselbe trifft laut Lookout auf den Such-Icon auf dem Desktop zu.
- Apperhand kann auch Favoriten im Browser hinzufügen. Dies überschreitet Lookout zufolge die Grenze, was Anzeigen können sollten, belegt aber dieser Interpretation nach ebenfalls nicht den Malware-Vorwurf.
Die Diskussion zielt somit primär auf Definitionen von vermeintlich gängigen Begriffen („Trojaner“, „Malware“) ab, wobei der Antiviren-Hersteller Symantec – sicher nicht uneigennützig – eine alarmistische Auffassung an den Tag, während von der Konkurrenz in diesem Falle eher beschwichtigt und der Fund in ein eher harmloseres Licht gerückt wird.
Abseits davon bleibt die Feststellung, dass die betroffenen Anwendungen – ganz gleich, wie man sie nun einstufen und kategorisieren möchte – auch laut Lookout auf keinem Android-Smartphone laufen sollten: „Auch wenn dies keine Malware ist, denken wir, dass die Nutzer dies ernst nehmen sollten.“
Fabian und 
Jan-Frederik