Cybersicherheitsexperten haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die über den offiziellen Google Play Store mehr als 2,16 Millionen Android-Geräte infiziert hat. Die als FakeApp klassifizierte Schadsoftware verwendet innovative Tarnungstechniken und zeigt damit eindrucksvoll die zunehmende Sophistikation moderner Mobile-Malware.
Innovative DNS-Tunneling-Technik erschwert Erkennung
Besonders bemerkenswert ist die Variante Android.FakeApp.1669, die eine fortschrittliche DNS-basierte Kommunikationsmethode implementiert. Diese Technik ermöglicht es der Malware, Befehle von Command-and-Control-Servern zu empfangen, während der verdächtige Datenverkehr durch reguläre DNS-Anfragen getarnt wird.
Technische Analyse der Malware-Funktionsweise
Die Schadsoftware basiert auf einer modifizierten Version der dnsjava-Bibliothek und durchläuft einen mehrstufigen Prozess:
– Initiierung verschlüsselter DNS-Anfragen
– Extraktion von Befehlen aus TXT-Records
– Mehrstufige Entschlüsselung der Konfigurationsdaten
– Ausführung schädlicher Aktionen basierend auf empfangenen URLs
Selektive Aktivierung erschwert Analyse
Ein besonders raffinierter Aspekt der Malware ist ihre selektive Aktivierung: Sie wird nur bei bestimmten Mobilfunkanbietern aktiv, was die Erkennung in Testumgebungen erheblich erschwert und traditionelle Analysemethoden untergräbt.
Tarnung durch legitim erscheinende Apps
Die Malware wird über scheinbar harmlose Utility-Apps und Spiele verbreitet. Jede Variante verfügt über eine individuelle Konfiguration und eigene Command-and-Control-Domains, was eine granulare Kontrolle über das Botnetz ermöglicht und die Rückverfolgung erschwert.
Zur Prävention solcher Bedrohungen empfehlen Sicherheitsexperten mehrschichtige Schutzmaßnahmen: Installation eines vertrauenswürdigen Mobile Security-Tools, kritische Überprüfung von App-Berechtigungen und regelmäßige Sicherheitsupdates. Besondere Vorsicht ist bei Apps geboten, die umfangreiche Systemzugriffe anfordern, selbst wenn sie aus dem offiziellen Google Play Store stammen. Die Implementation von DNS-basierter Threat Intelligence und Network Monitoring kann zusätzlichen Schutz vor dieser Art von Angriffen bieten.
