Bereits im vergangenen Jahr tauchten verschiedene Proof-of-Concepts für Malware und Botnets auf Basis des Smartphone-Betriebssystems Android auf. Nun scheint der erste echte Schädling in freier Wildbahn aufgetaucht zu sein, Forscher haben ihm den Namen „Gemini“ gegeben. Einmal installiert, verbindet sich Gemini mit einem zentralen Server um weitere Kommandos vom Bot-Herder zu empfangen.

 

Gemini infiziert Smartphones, indem die Malware in legitimen Anwendungen versteckt wird – beispielsweise in geknackten Versionen von ansonsten kostenpflichtiger Software. Laut den Forschern der Android-Sicherheitssoftware Lookout ist das eigentliche Ziel von Gemini unklar – die Möglichkeiten reichen von einem mobilen Botnet bis hin zu einem gekaperten Werbenetzwerk.

 

Die Forscher haben den Schädling zumindest teilweise analysiert. Gemini kann etwa die aktuelle Position des Smartphones auslesen und an den Kontroll-Server übertragen, zusammen mit Informationen wie der IMEI und der IMSI oder der auf dem Gerät installierten Anwendungen. Die Malware verfügt außerdem über einen ausgefeilten Update- und Schutzmechanismus. Gemini kann verschiedene Applikationen im Hintergrund herunterladen und den Nutzer anschließend auffordern, die App zu installieren. Umgekehrt kann die Malware den Nutzer auch auffordern, auf dem Gerät enthaltene Programme zu entfernen.

 

Gemini verteilt sich in erster Linie über alternative Anwendungsverzeichnisse, derzeit vor allem in China. Laut Lookout können sich Android-Nutzer relativ einfach schützen – abgesehen von der Installation einer mobilen AV-Lösung. Wer sicher gehen möchte, sollte die Installation von 3rd-Party-Applikationen unterbinden und Anwendungen nur aus dem offiziellen App Market installieren. In jedem Fall sollte man darauf achten, welche Berechtigungen sich die jeweilige Applikation bei der Installation sichern will. Beim Einsatz alternativer App-Verzeichnisse sollte man in jedem Fall auf das Rating achten und die Bewertungen durchlesen.

 

Sicher sind Android-Anwender auch, wenn sie die Voreinstellung des Systems nutzen und somit die Installation von Software aus unbekannten Quellen deaktiviert ist. Auch installiert sich Gemini nur durch das Zutun der Nutzer, allerdings ist diese eine kleine Hürde. Interessant ist, dass es die Malware nicht nur auf die sensiblen Daten der Nutzer abgesehen hat, sondern auch die Funktion zum Aufbau eines Werbe-Netzwerkes enthalten ist. Damit können die Angreifer nicht nur direkt Geld verdienen, sondern beispielsweise auch Links zu manipulierten Webseiten einblenden – die etwa später einmal eine Infektion ohne Bestätigung des Nutzers ermöglichen.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.