Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Harvester weckt „Schläfer“-Malware

12.03.2015

TU Darmstadt und Fraunhofer SIT haben ein Analysetool entwickelt, das „schlafenden“ Android-Schadcode blitzschnell enttarnt

Hacker und Cyberkriminelle nutzen immer häufiger „Schläfer“-Software, um Schadcode für mobile Geräte in Apps zu verstecken. Diese „schlafende“ Malware tut zunächst einmal nichts. Erst nach einem bestimmten Zeitraum oder festgelegten Aktionen wird sie aktiv, was die Erkennung enorm erschwert.


Harvester enttarnt Schläfer-Apps. Analysewerkzeug hilft Software-Analysten bei der Suche nach Malware-Code.

Fraunhofer SIT

Sicherheitsforscher der TU Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben deshalb das Analysewerkzeug Harvester entwickelt, das Sicherheitsanalysten dabei hilft, „Schläfer“-Schadcode in Android-Apps in Minutenschnelle zu enttarnen.

Millionen von Android-Geräten sind bereits mit mobilem „Schläfer“-Schadcode, auch timing bombs genannt, infiziert – auf den ersten Blick scheinen sie normale Software zu sein. Ihr schädliches Potenzial entfalten sie erst nach einer längeren Inkubationszeit. Für den Smartphone-Besitzer ist es dann schwierig festzustellen, was die eigentliche Ursache dieses zeitverzögerten Angriffs ist.

Ein aktuelles Beispiel ist der Banking-Trojaner BadAccents, ein zweistufiger Schadcode, der beim Herunterladen einer vermeintlichen Raubkopie des Films „The Interview“ aufs Smartphone kommt. Aktiv werden einzelne Komponenten in BadAccents erst unter bestimmten Umständen, etwa wenn das Smartphone per SMS bestimmte Befehle empfängt.

Auch für Sicherheitsanalysten, etwa von Antiviren-Herstellern, ist schlafender Schadcode, der erst unter speziellen Ereignissen ausgelöst wird, ein Problem. Sie müssen jeden Tag mehrere Tausend neue Apps darauf prüfen, ob sie potenziell schädlich sind oder nicht.

Daher bleiben für die Analyse jeder App nur wenige Minuten Zeit. Um eine Schläfer-App zu enttarnen, müsste ein Analyst eine solche Untersuchung tagelang ausführen und sämtliche Ereigniskombinationen simulieren, denn im Vorhinein weiß man nicht, was den Schadcode aktiviert.

Um Schläfer-Apps schneller finden zu können, haben IT-Sicherheitsexperten der Technischen Universität Darmstadt und des Fraunhofer SIT das Analysetool Harvester entwickelt. Das Analysewerkzeug nutzt eine einzigartige Kombination von Softwareanalyse-Techniken und Codeumwandlung und spart Sicherheitsanalysten damit viel Zeit.

Harvester untersucht nicht den gesamten Code der Original-App, sondern analysiert verdächtige Programmstellen. Die Software nutzt hierfür ein spezielles Verfahren der statischen Analyse, „backwards slicing“ oder „program slicing“.

Mithilfe des Tools können Analysten einfach den Teil des Codes herausschneiden, den sie näher untersuchen möchten – alles andere wird kurzerhand weggelassen. Dadurch wird etwaiger Schadcode direkt ausgeführt und programmierte Wartezeiten sowie Ereignisfilter entfallen. Ist Schadcode gefunden worden, kann Harvester außerdem vollautomatisch wichtige Informationen (Ziel-Telefonnummern, Inhalte von SMSen, Entschlüsselungs-Schlüssel, URLs, etc.) aus dem schädlichen Android-Codes extrahieren, mit denen der Analyst auf Art und Quelle der Malware schließen kann.

Für die Teilanalyse einer Codestelle benötigt Harvester rund eine Minute – das haben die Experten von TU Darmstadt und Fraunhofer SIT an mehr als 13.500 gängigen Malware-Beispielen getestet.

Das Testwerkzeug funktioniert sogar, wenn der Code der schädlichen App stark verschleiert ist oder andere Anti-Analyse-Techniken genutzt wurden. Eine Basisvariante steht als Open Source-Tool für wissenschaftliche Zwecke zur Verfügung, eine Nutzung durch Privatanwender ist nicht vorgesehen. Für die kommerzielle Nutzung können Unternehmen eine Version mit erweiterter Funktionalität lizenzieren. Harvester ist Teil eines Analyseframeworks, das derzeit in Darmstadt entwickelt wird. Mit dem Framework lässt sich Android-Code extrem schnell und einfach untersuchen.

Mehr Informationen:
Die Basisvariante für wissenschaftliche Zwecke ist über die Projektgruppe von Prof. Dr. Eric Bodden zugänglich. Weitere Informationen und Ansprechpartner zu Harvester finden sich im Internet unter www.sit.fraunhofer.de/harvester  oder im Blog der Forschungsgruppe unter
http://sseblog.ec-spride.de/2015/01/korea-threat-compain-2014/

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Mit wenigen Klicks zum Edge Datacenter
18.02.2018 | Rittal GmbH & Co. KG

nachricht Fingerabdrücke der Quantenverschränkung
15.02.2018 | Universität Wien

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Erste integrierte Schaltkreise (IC) aus Plastik

Erstmals ist es einem Forscherteam am Max-Planck-Institut (MPI) für Polymerforschung in Mainz gelungen, einen integrierten Schaltkreis (IC) aus einer monomolekularen Schicht eines Halbleiterpolymers herzustellen. Dies erfolgte in einem sogenannten Bottom-Up-Ansatz durch einen selbstanordnenden Aufbau.

In diesem selbstanordnenden Aufbauprozess ordnen sich die Halbleiterpolymere als geordnete monomolekulare Schicht in einem Transistor an. Transistoren sind...

Im Focus: Quantenbits per Licht übertragen

Physiker aus Princeton, Konstanz und Maryland koppeln Quantenbits und Licht

Der Quantencomputer rückt näher: Neue Forschungsergebnisse zeigen das Potenzial von Licht als Medium, um Informationen zwischen sogenannten Quantenbits...

Im Focus: Demonstration of a single molecule piezoelectric effect

Breakthrough provides a new concept of the design of molecular motors, sensors and electricity generators at nanoscale

Researchers from the Institute of Organic Chemistry and Biochemistry of the CAS (IOCB Prague), Institute of Physics of the CAS (IP CAS) and Palacký University...

Im Focus: Das VLT der ESO arbeitet erstmals wie ein 16-Meter-Teleskop

Erstes Licht für das ESPRESSO-Instrument mit allen vier Hauptteleskopen

Das ESPRESSO-Instrument am Very Large Telescope der ESO in Chile hat zum ersten Mal das kombinierte Licht aller vier 8,2-Meter-Hauptteleskope nutzbar gemacht....

Im Focus: Neuer Quantenspeicher behält Information über Stunden

Information in einem Quantensystem abzuspeichern ist schwer, sie geht meist rasch verloren. An der TU Wien erzielte man nun ultralange Speicherzeiten mit winzigen Diamanten.

Mit Quantenteilchen kann man Information speichern und manipulieren – das ist die Basis für viele vielversprechende Technologien, vom hochsensiblen...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Auf der grünen Welle in die Zukunft des Mobilfunks

16.02.2018 | Veranstaltungen

Smart City: Interdisziplinäre Konferenz zu Solarenergie und Architektur

15.02.2018 | Veranstaltungen

Forschung für fruchtbare Böden / BonaRes-Konferenz 2018 versammelt internationale Bodenforscher

15.02.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Erste integrierte Schaltkreise (IC) aus Plastik

17.02.2018 | Energie und Elektrotechnik

Stammbaum der Tagfalter erstmalig umfassend neu aufgestellt

16.02.2018 | Biowissenschaften Chemie

Neue Strategien zur Behandlung chronischer Nierenleiden kommen aus der Tierwelt

16.02.2018 | Biowissenschaften Chemie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics