Im Rahmen der Hackerkonferenz Blackhat in Las Vegas präsentieren Sicherheitsforscher von Trustwave wie sie eine MalWare App in Google Play (ehemals Market) schleusten. Bereits Anfang Juli warnte 1a-android.de vor MalWare Apps, die Schadcode erst durch ein Update einschleusen. Die Sicherheitsforscher wählten ein ähnliches Vorgehen. Zuerst wurde eine harmlose App (SMS Bloxor), die lediglich die Aufgabe hatte SMS zu blocken hochgeladen. Nach und nach spielten die Forscher dann Schadcode ein um die Grenzen des Antimalware-Bouncers, dem Programm, das schädliche Apps erkennen soll, auszutesten. Zu beginn würde sicher gestellt, dass Schadcode nur ausgeführt wird, wenn sich das Smartphone außerhalb des Google IP-Netzes befindet. Somit wollte man die automatische MalWare-Erkennung austricksen. Doch selbst nachdem man diese Tarnung entfernte blieb die MalWare App der Forscher unerkannt. Erst als man soweit ging das Adressbuch im Minutentakt auszulesen und an einen externen Server zu versenden wurde der Schadcode erkannt. Google sperrte den Entwickler Account und entfernte die App 24 Stunden später aus Google Play.

Neben der normalen Update-Funktion experimentierte man auch mit der Android-Javascript-Bridge. Über diese lässt sich ohne Update im laufenden Betrieb neuer Programmcode nachladen und ausführen.

Um zu verhindern, dass normale Nutzer die App über den Android Marktplatz herunterladen und installieren wählte man einen überteuerten Preis von 50€.

Quelle: heise.de – Googles Antimalware-Bouncer ist zu gutmütig