Android-Trojaner “Certificate.apk” macht die Runde

3 Kommentare Autor: Jürgen (jdo)

Android Logo Sicherheit 150x150Die Sicherheits-Experten von F-Secure warnen vor einem Android-Trojaner (Trojan:Android/Pincer.A). Anwender sollten auf keinen Fall eine Datei installieren, die sich “Certificate.apk” nennt.

Das Mistvieh kann unter anderem SMS-Nachrichten weiterleiten und andere Befehle ausführen, die es von einem Server erhält – beziehungsweise dessen Betreiber. Auf folgende Kommandos hört Trojan:Android/Pincer.A:

  • start_sms_forwarding
  • start_call_blocking
  • stop_sms_forwarding
  • stop_call_blocking
  • send_sms
  • execute_ussd
  • simple_execute_ussd
  • stop_program
  • show_message
  • delay_change
  • ping

Der Befehl show_message kann dem Anwender etwas auf dem Bilschirm anzeigen und so dessen Aufmerksamkeit erregen. Die IMEI dient dem Schadcode-Operator als Identifizierungs-Möglichkeit. Andere gesammelte Informationen sind Telefonnummer, Seriennummer des Geräts, Smartphone-Modell, Mobilfunkbetreiber und Version des Betriebssystems.

Pincer scheint auch erkennen zu können, wenn er innerhalb eines Emulators läuft. Somit will die Malware sein wahres Vorhaben verschleiern.




 Alle Kommentare als Feed abonnieren

3 Kommentare zu “Android-Trojaner “Certificate.apk” macht die Runde”

  1. axt says:

    Das jetzt nur am Paketnamen festmachen zu wollen, ist doch ein wenig...hm. Dann gibt's eben simpelste Variationen.

    • Erik says:

      Der Name ist sicher beliebig. Man sollte halt nur von vertrauenswürdiger Stelle eine .apk installieren und auch immer auf die Berechtigungen schauen. Ein Großteil der Schadsoftware wäre denn vom Tisch.

      • jdo says:

        Klar ist der Name beliebig. In dem Fall wurde es halt unter dem Namen gefunden und die App installiert sich auch als Certificate. Bei F-Secure gibt es SHA-Signaturen, mit denen sich die Datei identifizieren lässt.