Superclean und DroidCleaner: Spyware für Android und Windows im Google Play Store
Stefan Keller, den 4. Februar 2013
Android-Anwender sollten aufpassen. In den App Stores für Googles mobiles Betriebssystem geistern zwei Apps, die es auf Daten und akustische Signale ihrer Benutzer abgesehen haben. Die Masche ist dabei einfach: Die App soll das Smartphone beschleunigen und benötigt deshalb alle erdenklichen Rechte.
Wer auf der Suche nach Tools, um sein Android-Smartphone zu beschleunigen, auf die App Superclean oder DroidCleaner stößt, sollte sofort das Weite suchen und die App nicht installieren. Es handelt sich hierbei um Schadsoftware, wie Victor Chebyshev von Kaspersky feststellt. Die Apps geben vor, den Speicher zu optimieren und das Gerät schneller zu machen, in Wahrheit haben sie es aber darauf abgesehen, SMS zu senden und Informationen über das Gerät und dessen Daten auf der SD-Karte an den „Meister“ zu senden.
System-Dienste kann die App in der Tat neu starten, aber das tut sie weniger, um Speicher freizugeben, als viel mehr um die ihren Schadcode zu aktivieren. Außerdem hat es der Entwickler auf die Windows-Installation des Anwenders abgesehen. Auf der SD-Karte werden drei Dateien abgelegt, autorun.inf, folder.ico und svchosts.exe. Ältere Windows-Systeme sind dazu angehalten, die autorun.inf nach dem Einstecken eines Datenträgers auszuführen.
Hinter der svchosts.exe versteckt sich das Backdoor Backdoor.MSIL.Ssucl.a, das schon ein paar Tage älter ist. Laut Analyse von Kaspersky wird mit dem Tool das Mikrofon des Computers angezapft und die Ergebnisse auf einen FTP-Server des Entwicklers geladen. Der Entwickler hofft darauf, dass der Anwender irgendwann sein infiziertes Android-Smartphone per USB mit dem Computer verbindet, etwa um Fotos zu kopieren oder die Musik auszutauschen.
Kaspersky resümiert, dass diese Art des Angriffs neu ist. Über die Autorun-Funktion wurde bislang noch kein PC über ein Smartphone infiziert. Allenfalls der umgekehrte Weg ist bekannt, dass ein infizierter PC ein Smartphone ansteckt. Außerdem stellt diese App das erste Vorkommen dar, dass so viel Schadcode in einem Programm enthalten ist – die meisten anderen Spyware-Apps sind bescheidener, was ihr Verlangen nach Informationen angeht.