Android-Trojaner “Certificate.apk” macht die Runde

6 April 2013 3 Kommentare Autor: Jürgen (jdo)

Android Logo Sicherheit 150x150Die Sicherheits-Experten von F-Secure warnen vor einem Android-Trojaner (Trojan:Android/Pincer.A). Anwender sollten auf keinen Fall eine Datei installieren, die sich “Certificate.apk” nennt.

Das Mistvieh kann unter anderem SMS-Nachrichten weiterleiten und andere Befehle ausführen, die es von einem Server erhält – beziehungsweise dessen Betreiber. Auf folgende Kommandos hört Trojan:Android/Pincer.A:

  • start_sms_forwarding
  • start_call_blocking
  • stop_sms_forwarding
  • stop_call_blocking
  • send_sms
  • execute_ussd
  • simple_execute_ussd
  • stop_program
  • show_message
  • delay_change
  • ping

Der Befehl show_message kann dem Anwender etwas auf dem Bilschirm anzeigen und so dessen Aufmerksamkeit erregen. Die IMEI dient dem Schadcode-Operator als Identifizierungs-Möglichkeit. Andere gesammelte Informationen sind Telefonnummer, Seriennummer des Geräts, Smartphone-Modell, Mobilfunkbetreiber und Version des Betriebssystems.

Pincer scheint auch erkennen zu können, wenn er innerhalb eines Emulators läuft. Somit will die Malware sein wahres Vorhaben verschleiern.



Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren


Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

3 Kommentare zu “Android-Trojaner “Certificate.apk” macht die Runde”

  1. axt sagt:

    Das jetzt nur am Paketnamen festmachen zu wollen, ist doch ein wenig...hm. Dann gibt's eben simpelste Variationen.

    • Erik sagt:

      Der Name ist sicher beliebig. Man sollte halt nur von vertrauenswürdiger Stelle eine .apk installieren und auch immer auf die Berechtigungen schauen. Ein Großteil der Schadsoftware wäre denn vom Tisch.

      • jdo sagt:

        Klar ist der Name beliebig. In dem Fall wurde es halt unter dem Namen gefunden und die App installiert sich auch als Certificate. Bei F-Secure gibt es SHA-Signaturen, mit denen sich die Datei identifizieren lässt.

Antworten