Bösartige Anwendungen können die Kontrolle über mobile Geräte übernehmen. Die App erscheint möglicherweise nicht bösartig, und die Benutzer bemerken oder verstehen die von ihnen während der Installation gewährten Berechtigungen nicht. Selbst populäre Anwendungen können rückentwickelt und mit bösartigem Code versehen und dann unter einem anderen Namen in einen App Store hochgeladen werden. Neu verpackte oder umbenannte Anwendungen können die wesentlichen Funktionen der App bereitstellen, aber auch das Gerät des Benutzers infizieren.
Kriminelle erstellen auch scheinbar authentische Kopien von Anwendungen, die ähnliche Icons, Beschreibungen, Screenshots und sogar Benutzerrezensionen enthalten, aber nicht wie vorgesehen funktionieren - Opfer erhalten eine bösartige Nebenfunktionalität, wie z.B. ein Abonnement für einen teuren Textdienst oder ein getarntes Überwachungswerkzeug. Bösartige Anwendungen können eine Vielzahl von Aktivitäten ermöglichen, wie z.B. die ferngesteuerte Steuerung von Kamera und Mikrofon des Geräts, um Benutzer und ihre Umgebung auszuspionieren.
Bösartige Anwendungen werden nicht nur über bekannte App-Stores wie Apple’s App Store oder Google Play verbreitet. Immer mehr Store-Apps (z.B. Tutuapp) tauchen auf, auf denen Entwickler ihre Applikationen zum Download bereit stellen, ohne dass diese den Standardprozess der grossen Anbieter durchlaufen. Solche App Stores sind immer beliebter, da über solchen Stores noch nicht überall Verfügbare Applikationen oder Spiele herunterladen lassen – so zum Beispiel eine infizierte Version von Pokémon-Go.
Mobile Antivirenschutzlösungen können bösartigen Code in Anwendungen aufdecken, indem sie nach eindeutigen binären Signaturen suchen, aber Kriminelle können einen Weg finden, diese Signaturen zu verdecken. Ausserdem sind Signaturen für "zero-day" (neu erstellte) Malware noch nicht verfügbar.
Best Practice
- Entdecken Sie bösartigen Code in Anwendungen, indem Sie nach den eindeutigen binären Signaturen für bekannte Malware suchen.
- Bestimmen Sie, ob eine App aus einem App Store oder einer anderen Quelle stammt, und überwachen Sie die App-Installationsprozess.
- Erfassen Sie Anwendungen, während sie heruntergeladen werden, und führen Sie sie in einer "Sandbox"-Umgebung aus, um ihr Verhalten zu analysieren, bevor Sie sie als bösartig markieren.
- Sammeln und korrelieren Sie Informationen über den Ruf des Entwicklers, die Anzahl der Downloads, die App-Quelle und den Ruf der Server der App, um legitime Anwendungen auf die Whitelist zu setzen.