Informasjonsplansje fra Symantec om Android.Couterclank. (Bilde: Symantec)

– Massiv spredning av Android-skadevare

Symantec advarer, men konkurrent mener selskapet er på villspor.

Det er mulig å spre skadevare via Android Market og lignende tjenester for Android, siden det ikke gjøres noe forhåndskontroll av applikasjonene som publiseres der. Men til nå har ondsinnede applikasjoner blitt relativt raskt oppdaget, før de har blitt tatt i bruk mer enn en liten andel av Android-brukerne. Mye av spredningen han dessuten skjedd via andre tjenester enn Android Market, som de aller fleste benytter.

I slutten av forrige uke kom sikkerhetsselskapet Symantec med en advarsel om skadevarespredning i helt andre dimensjoner. Ifølge selskapet har mellom 1 og 5 millioner Android-brukere installert én eller flere applikasjoner som inneholder Android.Counterclank, en trojaner som ifølge Symantec stjeler informasjon fra mobilen.

De aktuelle applikasjonene er gitt ut av iApps7 Inc, Ogre Games og redmicapps. Symantec nevner 13 ulike: Counter Elite Force, Counter Strike Ground Force, CounterStrike Hit Enemy, Heart Live Wallpaper, Hit Counter Terrorist, Stripper Touch girl, Balloon Game, Deal & Be Millionaire, Wild Man, Pretty women lingerie puzzle, Sexy Girls Photo Game, Sexy Girls Puzzle og Sexy Women Puzzle.

Flere av disse skal ha vært tilgjengelige i Android Market i minst en måned før Symantec oppdaget dem i forrige uke.

– For hver av disse ondsinnede applikasjonene har den ondsinnede koden blitt overført til hovedapplikasjonen i en pakke kalt «apperhand». Når pakken kjøres, kan man se at en tjeneste med samme navn kjøres på en kompromittert enhet. Et annet tegn på infeksjonen er tilstedeværelsen av søkeikonet over hjemmeskjermen, skriver Symantec.

Overdrevent?

Antivirus-selskaper lever av kundenes frykt for å bli infisert, og gjennom årene har det kommet mange anklager om at selskapene overdriver faren for å øke etterspørselen. Slike anklager har på nytt dukket opp i dette tilfellet.

Årsaken til dette er at én av Symantecs konkurrenter, Lookout Mobile Security, mener at Symantecs påstander om at dette er skadevare, er feil.

– Vi er uenige i bedømmelsen av at dette er skadevære, selv om vi mener at Apperhand SDK-et er en aggressiv form for annonsenettverk og bør tas alvorlig, heter det i et innlegg i Lookout-bloggen.

– Skadevare defineres som programvare som er designet for å anta en ondsinnet atferd på en enhet. Skadevare kan også brukes til å stjele personlig informasjon fra en mobilenhet, noe som kan resultere i identitetstyveri eller økonomisk svindel.

– Apperhand framstår ikke som ondsinnet, og ifølge vår etterforskning så lang er dette en aggressiv form for et annonsenettverk, ikke skadevare.

Lookout mener likevel at den gjennomsnittlige Android-brukeren ikke vil ønske å ha applikasjoner som inneholder Apperhand på sin mobil. Men ifølge selskapet gjør den ikke noen reell skade, og også Symantec mener at applikasjonene med Apperhand enkelt kan fjernes igjen.

Symantec skriver i selskapets beskrivelse av Android.Counterclank/Apperhand at blant informasjonen programvaren «stjeler», inkluderer id-informasjon som Android ID, IMEI, IMSI, MAC-adressen og serienummeret til SIM-kortet.

Lookout bekrefter at Apperhand bruker blant annet IMEI-informasjonen til å identifisere brukeren, men at denne informasjonen gjøres om til en hash før den sendes til serveren.

Funksjonaliteten som Lookout mener har størst likheter med skadevare, er at Apperhand kan legge inn nye bokmerker i nettleseren på mobilen.

Ifølge Symantec forsøker applikasjonene med Apperhand å kontakte visse sider på serverne www.apperhand.com og www.searchmobileonline.com. Begge er registrert via en stedfortreder. Begge har også en lenke som peker til det amerikanske selskapet InfoSpace, som leverer søketjenester basert på resultater fra både Google, Bing og andre.

Oppdatering 31.01.2012: Symantec har i et nytt blogginnlegg gått vekk fra påstandene om at de nevnte applikasjonene har ondsinnet funksjonalitet. Applikasjonene skal dessuten være innenfor Googles retningslinjer for Android Market.

    Les også:

Til toppen