News & Rumors: 11. August 2014,

Heart App: Entwickler von Android-Trojaner verhaftet

Heart App
Heart App - Android-Trojaner

Der Android-Entwickler der Virus-Software Heart App wurde bereits 17 Stunden nach der Veröffentlichung in Gewahrsam genommen. Es handelt sich um einen 19-jährigen Student aus Shenzen, China.

Der vollständige Name des Heart App Entwicklers ist unbekannt, doch der 19-jährige “Li” soll Berichten zufolge in Shenzen, China, in Untersuchungshaft sitzen. Li studiert Software-Engineering und das Projekt sei wohl aus einem Mix aus Langeweile und Ehrgeiz entstanden. Bei einem Treffen mit Freunden in der vorlesungsfreien Zeit hat er sein Können unter Beweis stellen wollen.

Werbung

Heart App verbreitet sich rasend schnell

Der Virus, der seine Malware mittels Kurznachricht verbreitet, soll in China bereits mindestens 100.000 Smartphones infiziert haben. Die Mobilfunk-Betreiber haben allerdings 20 Millionen Nachrichten geblockt, die durch den Trojaner verschickt wurden. Dies Alles in einer Zeit, da der Entwickler 17 Stunden nach dem ersten Verdachtsmoment von der Polizei in Gewahrsam genommen wurde.

Entsprechend hat sich Li bei der Entwicklung des Android-Trojaners durchaus ambitioniert gezeigt, wohl aber seine Spuren nicht verwischen können.

Trojaner zweiteilig

Die Malware, die in China XX神器 (XXshenqi) genannt wird, funktioniert zweiteilig. Die erste Komponente dient der Verbreitung und der Abfrage personenbezogener Daten, während die zweite Komponente SMS der Nutzer ausspioniert und an den Urheber sendet. Mit Heart App soll “in der Theorie” die Verabredung zu einem romantischen Dinner mit einem Freund oder Bekannten realisiert werden.

Von Sophos bekam die Malware die Bezeichnung Andr/SmsSend-FA. Sie verbreitet sich zunächst, indem sie den ersten 99 Kontakten im Adressbuch eine sehr kurze SMS schickt. In dieser wird der Kontakt beim Vornamen angesprochen und er oder sie soll natürlich XXshenqi ausprobieren. Dazu wird per SMS ein Link auf das Programmpaket (APK) verschickt. Die chinesischen Regulierungsbehörden erlauben den Betrieb des Google Play Store nicht. Entsprechend sind chinesische Android-Nutzer es gewohnt, dass sie Software aus anderen App Stores herunterladen. Am einfachsten funktioniert das, indem man in den Systemeinstellungen die Installation von Android Apps aus “unsicherer Quelle” zulässt. Entsprechend einfach hat es der Trojaner in China.

Die Heart App Malware begrüßt den Nutzer mit einem harmlosen Splash-Screen. Schon in diesem Moment werden im Hintergrund die ersten SMS an weitere Kontakte verschickt. Es folgt dann ein Formular, indem der Nutzer sich registrieren muss, weil er sonst nicht an die “vermeintliche Botschaft” des Bekannten gelangen kann. Der Dienst richtet sich an “Erwachsene”, entsprechend wird auch die Ausweisnummer abgefragt, um dies zu verifizieren.

Malware Trogoogle im Schlepptau von Heart App spioniert SMS aus

Wenn die Nutzer den Login-/Registrierungs-Prozess zum ersten Mal starten, wird ihnen ein Pop-up angezeigt, in dem der Hinweis erfolgt, dass eine Ressource X, Y fehlt. Diese müsse man installieren. Stimmen sie dem zu, wird im Hintergrund die zweite Komponente des Trojaners installiert. Sie ist einige Megabyte groß und wird als “com.android.Trogoogle” Prozess in den Einstellungen geführt. Dadurch, dass die Heart App diese zweite App installiert, ist es dem Entwickler möglich, sie gar nicht auf dem Dashboard anzeigen zu lassen. So wird das Auffinden und Deinstallieren für wenig versierte Nutzer erschwert. Deinstalliert man nur die Heart App hat man eventuell noch den deutlich gefährlicheren Trogoogle auf dem Smartphone belassen. Dieser führt verschiedene Services aus (readmessage, sendmessage, test, makemessage, sendlink). Diese stehen die SMS der Nutzer und verschicken sie per E-Mail an den Trojaner-Entwickler, verschicken weitere SMS wahllos vom Smartphone des Betroffenen oder platziert gefälschte SMS mit weiteren Links zu Schadsoftware im eigenen Eingang.

2009 sorgte ein ähnlicher Fall für Aufsehen. Anders als beim Android-Trojaner Heart App bekam der Entwickler jedoch ein Jobangebot als Dankeschön.

Weitersagen

Zuletzt kommentiert

 0 Kommentar(e) bisher


Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.



Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Werbung