Nachdem Google über 50 mit Malware verseuchte Apps aus dem Android-Market entfernt hatte, werden diese nun auch von den Smartphones entfernt. Außerdem gibt es inzwischen Details zur Funktionsweise des Schädlings.

Wie bereits berichtet, wurde vor kurzem bekannt, dass über 50 Apps im Android Market mit einer Trojaner-Komponente verseucht waren. Es handelt sich dabei um Klons von regulären Anwendungen, die um den Trojaner ergänzt und unter einem leicht veränderten Namen kostenlos angeboten wurden. Google hatte schnell reagiert und diese Apps einschließlich des Anbieters myournet umgehend aus dem Market entfernt. Mittlerweile wurde den Entwicklern laut Google der Zugang zum Market entzogen und strafrechtliche Schritte eingeleitet.

Wie damals bereits abzusehen war, hat Google mittlerweile damit begonnen, die betroffenen Apps auch von den Geräten der Anwender zu entfernen, die sie installiert hatten. Hierfür wird die Funktion Remote-Removal verwendet, die in Android extra für solche Zwecke vorgesehen ist. Diese nicht ganz unumstrittene Funktion erlaubt es, über den Market installierte Apps mit einem zentralen Befehl aus der Ferne deinstallieren zu lassen.

Zusätzlich soll binnen 72 Stunden ein Patch eingespielt werden, der die Folgen des Trojaner-Befalls ggf. rückgängig machen kann. Ob dieser Patch auf allen Android-Geräten installiert wird oder nur auf solchen Exemplaren, auf denen tatsächlich entsprechende Apps installiert waren, ist allerdings nicht ganz klar.

Etwa klarer sieht man inzwischen bei der Funktionsweise der Trojaner-Software. Diese nutzt eine Sicherheitslücke, die bis einschließlich Version 2.2 in allen Android-Geräten vorhanden ist. Sie wird teilweise auch zum „Rooten“ solcher Geräte genutzt. Die Malware verschafft sich damit Root-Rechte auf dem System und übermittelt die IMEI-Nummer des Geräts an einen zentralen Server. Diese IMEI ist für jedes Gerät weltweit eindeutig und erlaubt ein zuverlässiges Identifizieren. Darüber hinaus installiert der Trojaner eine Komponente zum Dateidownload. Diese liest eine Liste von Dateinamen ein. Auf diesem Wege dürfte es möglich sein, nachträglich beliebige weitere Software auf das Gerät zu laden und zu installieren. In welchen Umfang dies ggf. schon passiert ist, kann noch nicht genau abgesehen werden.

Wer sich auf die automatische Beseitigung des Problems durch Google nicht verlassen möchte: Die kostenlose App Lookout Mobile Security kann den Trojaner erkennen und beseitigen.