Harvester weckt "Schläfer"-Malware
ID: 1185445
Harvester weckt "Schläfer"-Malware: TU Darmstadt und Fraunhofer SIT haben ein Analysetool entwickelt, das "schlafenden" Android-Schadcode blitzschnell enttarnt
(PresseBox) - Hacker und Cyberkriminelle nutzen immer häufiger "Schläfer"-Software, um Schadcode für mobile Geräte in Apps zu verstecken. Diese "schlafende" Malware tut zunächst einmal nichts. Erst nach einem bestimmten Zeitraum oder festgelegten Aktionen wird sie aktiv, was die Erkennung enorm erschwert. Sicherheitsforscher der TU Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben deshalb das Analysewerkzeug Harvester entwickelt, das Sicherheitsanalysten dabei hilft, "Schläfer"-Schadcode in Android-Apps in Minutenschnelle zu enttarnen.
Millionen von Android-Geräten sind bereits mit mobilem "Schläfer"-Schadcode, auch timing bombs genannt, infiziert - auf den ersten Blick scheinen sie normale Software zu sein. Ihr schädliches Potenzial entfalten sie erst nach einer längeren Inkubationszeit. Für den Smartphone-Besitzer ist es dann schwierig festzustellen, was die eigentliche Ursache dieses zeitverzögerten Angriffs ist. Ein aktuelles Beispiel ist der Banking-Trojaner BadAccents, ein zweistufiger Schadcode, der beim Herunterladen einer vermeintlichen Raubkopie des Films "The Interview" aufs Smartphone kommt. Aktiv werden einzelne Komponenten in BadAccents erst unter bestimmten Umständen, etwa wenn das Smartphone per SMS bestimmte Befehle empfängt.
Auch für Sicherheitsanalysten, etwa von Antiviren-Herstellern, ist schlafender Schadcode, der erst unter speziellen Ereignissen ausgelöst wird, ein Problem. Sie müssen jeden Tag mehrere Tausend neue Apps darauf prüfen, ob sie potenziell schädlich sind oder nicht. Daher bleiben für die Analyse jeder App nur wenige Minuten Zeit. Um eine Schläfer-App zu enttarnen, müsste ein Analyst eine solche Untersuchung tagelang ausführen und sämtliche Ereigniskombinationen simulieren, denn im Vorhinein weiß man nicht, was den Schadcode aktiviert. Um Schläfer-Apps schneller finden zu können, haben IT-Sicherheitsexperten der Technischen Universität Darmstadt und des Fraunhofer SIT das Analysetool Harvester entwickelt. Das Analysewerkzeug nutzt eine einzigartige Kombination von Softwareanalyse-Techniken und Codeumwandlung und spart Sicherheitsanalysten damit viel Zeit.
Harvester untersucht nicht den gesamten Code der Original-App, sondern analysiert verdächtige Programmstellen. Die Software nutzt hierfür ein spezielles Verfahren der statischen Analyse, "backwards slicing" oder "program slicing". Mithilfe des Tools können Analysten einfach den Teil des Codes herausschneiden, den sie näher untersuchen möchten - alles andere wird kurzerhand weggelassen. Dadurch wird etwaiger Schadcode direkt ausgeführt und programmierte Wartezeiten sowie Ereignisfilter entfallen. Ist Schadcode gefunden worden, kann Harvester außerdem vollautomatisch wichtige Informationen (Ziel-Telefonnummern, Inhalte von SMSen, Entschlüsselungs-Schlüssel, URLs, etc.) aus dem schädlichen Android-Codes extrahieren, mit denen der Analyst auf Art und Quelle der Malware schließen kann. Für die Teilanalyse einer Codestelle benötigt Harvester rund eine Minute - das haben die Experten von TU Darmstadt und Fraunhofer SIT an mehr als 13.500 gängigen Malware-Beispielen getestet.
Das Testwerkzeug funktioniert sogar, wenn der Code der schädlichen App stark verschleiert ist oder andere Anti-Analyse-Techniken genutzt wurden. Eine Basisvariante steht als Open Source-Tool für wissenschaftliche Zwecke zur Verfügung, eine Nutzung durch Privatanwender ist nicht vorgesehen. Für die kommerzielle Nutzung können Unternehmen eine Version mit erweiterter Funktionalität lizenzieren. Harvester ist Teil eines Analyseframeworks, das derzeit in Darmstadt entwickelt wird. Mit dem Framework lässt sich Android-Code extrem schnell und einfach untersuchen.
Mehr Informationen:
Die Basisvariante für wissenschaftliche Zwecke ist über die Projektgruppe von Prof. Dr. Eric Bodden zugänglich. Weitere Informationen und Ansprechpartner zu Harvester finden sich im Internet unter www.sit.fraunhofer.de/harvester oder im Blog der Forschungsgruppe unter http://sseblog.ec-spride.de/2015/01/korea-threat-compain-2014/
Unternehmensinformation / Kurzprofil:
Datum: 12.03.2015 - 15:15 Uhr
Sprache: Deutsch
News-ID 1185445
Anzahl Zeichen: 4335
Kontakt-Informationen:
Stadt:
Darmstadt
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 325 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Harvester weckt "Schläfer"-Malware"
steht unter der journalistisch-redaktionellen Verantwortung von
Fraunhofer-Institut für Sichere Informationstechnologie SIT (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Das Fraunhofer-Institut für Sichere Informationstechnologie SIT bietet besonders realitätsnahe Cyber-Krisen-Planspiele speziell für Krankenhäuser an. In ganztägigen Übungen trainieren Teams aus Technik, Medizin und Verwaltung gemeinsam, wie sie einen Cyberangriff erkennen, kommunizieren und be
Leben nach dem Tod - Digital unsterblich? / Studie zu Ethik, Recht und IT-Sicherheit des digitalen Weiterlebens - Herausforderungen und Lösungsansätze ...
Neue Technologien wie KI ermöglichen das Weiterleben nach dem Tod in Form von digitalen Darstellungen (Avataren) oder Chatbots. Die Digital Afterlife Industry, die solche Möglichkeiten anbietet, gilt als vielversprechender Wachstumsmarkt. Ein interdisziplinäres Forschungsteam des Fraunhofer-Insti
Besuch im Security Valley ...
Bundesforschungsministerin Prof. Dr. Johanna Wanka und Bundesinnenminister Dr. Thomas de Maizière informierten sich am 12. August 2015 über aktuelle Forschung und Entwicklungen in der Cybersicherheit. Technische Universität Darmstadt, Hochschule Darmstadt sowie die Fraunhofer-Institute für Sich
Weitere Mitteilungen von Fraunhofer-Institut für Sichere Informationstechnologie SIT
faytech Touch-Geräte: Deutsche Ingenieurskunst, eigene chinesische Produktion ...
. - faytech so günstig wie nie - Logistikeinsparungen und Barebone/OEM-Angebote - Industrie 4.0, Lösungen für Fleetmanagement und tunesische Polizeiautos, Precision Farming Technik, Gesichts- und Verdächtigenerkennung und Outdoor-Kiosk - zahlreiche Kooperationspartner präsentie
Neuausrichtung bei plentymarkets: Online-Händler werden mit Crowdsourcing die Zukunft gewinnen ...
Am 27.02.2015 fand direkt vor dem 8. plentymarkets Online-Händler-Kongress die erste Zukunftskonferenz statt. Über 200 engagierte plentymarkets-Nutzer diskutierten im Kasseler Kongress Palais über die E-Commerce-Software der Zukunft und gaben damit einen starken Changeimpuls in das Unternehmen.
Toshiba Portégé Z20t-B-103 - Ultimatives 2-in-1 Ultrabook? mit LTE für professionelle Nutzer ...
. - 12,5 Zoll (31,8 cm) Notebook und Tablet in einem: Flexibles, beidseitiges Docking für Vielseitigkeit im professionellen Einsatz - Lüfterlos und leistungsstark mit langen Akkulaufzeiten - dabei einfach und flexibel in der Handhabung - Neuer Intel® Core? M-5Y51 Prozesso
Sechs neue Märkte: Digitales Whiteboard SMART kapp startet in Europa durch ...
. - Digital Capture Board" ab sofort in sechs weiteren europäischen Ländern erhältlich - Neuentwicklung erhält "Best of Show Award" auf der ISE 2015 SMART Technologies Inc. (NASDAQ: SMT) (TSX: SMA) weitet die Vermarktung seines innovativen Digital Capture
