Smartphones: Harvester spürt Schläfer-Schadcode in Android-Apps auf

Raubkopien aus dem Internet laden ist an sich keine gute Idee. Wenn diese jedoch eine Schadsoftware enthält, wie den Banking-Trojaner BadAccents, ist Schluss mit dem Spaß. So verhält es sich bei einem Download der vermeintlichen Raubkopie des Films „The Interview“. Aktiv werden einzelne Komponenten in BadAccents erst unter bestimmten Umständen, etwa wenn das Smartphone per SMS bestimmte Befehle empfängt.

Herkömmliche Antivirensoftware hat extreme Probleme diesen Schadcode ausfindig zu machen. Um eine Schläfer-App zu enttarnen, müsste ein (Antiviren) Analyst eine Untersuchung tagelang ausführen und sämtliche Ereigniskombinationen simulieren, denn im Vorhinein weiß man nicht, was den Schadcode aktiviert.

Professor Dr. Eric Bodden

Die Funktion von Harvester

Mithilfe des Tools können Analysten einfach den Teil des Codes herausschneiden, den sie näher untersuchen möchten – alles andere wird kurzerhand weggelassen. Dadurch wird etwaiger Schadcode direkt ausgeführt und programmierte Wartezeiten sowie Ereignisfilter entfallen. Ist Schadcode gefunden worden, kann Harvester außerdem vollautomatisch wichtige Informationen (Ziel-Telefonnummern, Inhalte von SMSen, Entschlüsselungs-Schlüssel, URLs, etc.) aus dem schädlichen Android-Codes extrahieren, mit denen der Analyst auf Art und Quelle der Malware schließen kann. Für die Teilanalyse einer Codestelle benötigt Harvester rund eine Minute – das haben die Experten von TU Darmstadt und Fraunhofer SIT an mehr als 13.500 gängigen Malware-Beispielen getestet.

Eine Basisvariante steht als Open Source-Tool für wissenschaftliche Zwecke zur Verfügung, eine direkte Nutzung durch Privatanwender ist nicht vorgesehen. Für die kommerzielle Nutzung können Unternehmen eine Version mit erweiterter Funktionalität lizenzieren.

(Quelle: Fraunhofer-Institut für Sichere Informationstechnologie (SIT))