Android-Schadsoftware: Die Tricks mit der Google-Sicherheitslücke

Sicherheitsforscher haben Schad-Apps im Play Store gefunden, die über eine Google lange bekannte Android-Sicherheitslücke und weitere Tricks Nutzer ausspionierten. Die im Oktober aktiv ausgenutzte Lücke hatte Google eineinhalb Jahre vorher selbst entdeckt.

Artikel veröffentlicht am ,
Schadsoftware in Android nutzte eine von Google entdeckte Sicherheitslücke.
Schadsoftware in Android nutzte eine von Google entdeckte Sicherheitslücke. (Bild: Nina Stock/Pixabay)

Die Sicherheitsfirma Trend Micro hat Apps im Google Play Store analysiert, die unter anderem mit einer von Google im Oktober bekanntgemachten Sicherheitslücke Android-Nutzer ausspähten. Zuerst hatte das Onlinemagazin Ars Technica berichtet. Im Oktober erklärte Google, dass Kunden des Trojanerherstellers NSO eine Sicherheitslücke in Android aktiv ausnutzten.

Die beiden Sicherheitsforscher Ecular Xu und Joseph C Chen entdeckten die Apps Camero (Kamera-App), Filecrypt Manager (Dateimanager) und Callcam (Videotelefonie) kurz nach der Veröffentlichung von Google. Camero und Filecrypt Manager fungieren als Dropper, laden die App Callcam von einem Command-and-Control-Server herunter und installieren sie. Dabei nutzen sie unterschiedliche Tricks, um die Installation vor dem Android-Nutzer zu verbergen.

Mit Root-Rechten und Barrierefreiheit die Nutzer täuschen

Camero nutzt die Android-Sicherheitslücke eines Use-after-free-Bugs im Linux-Kernel, mit dem sich auf Android-Telefonen die Rechte ausweiten lassen. Besonders bedenklich: Google entdeckte selbst die Sicherheitslücke bereits eineinhalb Jahre zuvor und erstellte einen Patch - reichte diesen jedoch nicht an die eigenen Geräte weiter.

Dies nutzen die Schadsoftware-Autoren von Camero aus, um Root-Rechte zu erlangen und so unbemerkt die App Callcam installieren zu können. Laut Trend Micro funktionierte die Rechteausweitung auf dem Google Pixel 2 und 2 XL sowie Nokia 3, LG V20, Oppo F9 und Redmi 6A. Die App Filecrypt Manager funktioniert auf nahezu allen Android-Smartphones und bittet den Nutzer um Nutzung der Barrierefreiheit - dies diene der besseren Performance. Einmal gewährt, nutzt die App die Barrierefreiheitsfunktion, um ein Vollbildfenster anzuzeigen; die darunterliegenden Fenster sind versteckt. Im Hintergrund erlaubt die App die Installation unbekannter Apps, installiert Callcam und erteilt dieser weitere Rechte - dazu verwendet sie ebenfalls die Barrierefreiheitsfunktion.

Callcam spioniert Nutzer aus

Die auf einem dieser Wege installierte App Callcam sammelt vielfältige Daten über den Nutzer, verschlüsselt diese und sendet sie an die Angreifer. Darunter sind der Standort, die Dateien auf dem Gerät, Bildschirmfotos sowie verschiedene Systeminformationen wie der Batteriestand oder Wi-Fi-Informationen. Dazu kommen Daten aus Apps wie Wechat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail und Chrome. Damit der Nutzer die App Callcam nicht bemerkt, versteckt sie ihr Icon. Trend Micro vermutet, dass die Angreifer seit März 2019 aktiv sind. Dies lege das Zertifikat in einer der drei Apps nahe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


deinkeks 08. Jan 2020

yes, it blends...

deinkeks 08. Jan 2020

?? https://de.m.wikipedia.org/wiki/Konglomerat

Anonymer Nutzer 08. Jan 2020

Und Google hat diese Lücke nicht geheim gehalten, wenn sie bereits seit anderthalb...

M.P. 07. Jan 2020

Naja, bei Windows 98 durfte der User auf Betriebssystem- und Programm-Verzeichnissen...



Aktuell auf der Startseite von Golem.de
Energiespargeräte und Diskokugeln
Bundesnetzagentur zieht 15 Millionen Geräte aus dem Verkehr

Die Bundesnetzagentur hat im vergangenen Jahr zahlreiche Produkte verboten. Darunter sind Energiespargeräte, Fernbedienungen und Diskokugeln.

Energiespargeräte und Diskokugeln: Bundesnetzagentur zieht 15 Millionen Geräte aus dem Verkehr
Artikel
  1. OpenAI startet ChatGPT Plus: Abomodell von ChatGPT bekommt Zusatzkomfort
    OpenAI startet ChatGPT Plus
    Abomodell von ChatGPT bekommt Zusatzkomfort

    ChatGPT ist in Deutschland schnell bekannt geworden, viele verwenden den ChatBot auch bereits.

  2. Seti: KI entdeckt möglicherweise Signale von Außerirdischen
    Seti
    KI entdeckt möglicherweise Signale von Außerirdischen

    Ein neu entwickelter KI-Algorithmus hat in einem vorhandenen Datensatz Signale gefunden, die Merkmale von Technosignaturen enthalten, die nicht von Menschen stammen.

  3. Kryptowährung: Tesla verliert Millionen US-Dollar durch Bitcoins
    Kryptowährung
    Tesla verliert Millionen US-Dollar durch Bitcoins

    Tesla hat 2022 durch Spekulationen mit Bitcoins einen hohen Verlust eingefahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PNY RTX 4080 1.269€ • Dead Space PS5 -16% • Bis 77% Rabatt auf Fernseher bei Otto • Roccat Kone Pro -56% • Xbox Series S + Dead Space 299,99€ • PCGH Cyber Week • AMD CPU kaufen, SW Jedi Survivor gratis dazu [Werbung]
    •  /