Android-Schadsoftware: Die Tricks mit der Google-Sicherheitslücke

Sicherheitsforscher haben Schad-Apps im Play Store gefunden, die über eine Google lange bekannte Android-Sicherheitslücke und weitere Tricks Nutzer ausspionierten. Die im Oktober aktiv ausgenutzte Lücke hatte Google eineinhalb Jahre vorher selbst entdeckt.

Artikel veröffentlicht am ,
Schadsoftware in Android nutzte eine von Google entdeckte Sicherheitslücke.
Schadsoftware in Android nutzte eine von Google entdeckte Sicherheitslücke. (Bild: Nina Stock/Pixabay)

Die Sicherheitsfirma Trend Micro hat Apps im Google Play Store analysiert, die unter anderem mit einer von Google im Oktober bekanntgemachten Sicherheitslücke Android-Nutzer ausspähten. Zuerst hatte das Onlinemagazin Ars Technica berichtet. Im Oktober erklärte Google, dass Kunden des Trojanerherstellers NSO eine Sicherheitslücke in Android aktiv ausnutzten.

Stellenmarkt
  1. System Issue Analyst (m/w/d) Fahrerassistenzsysteme
    Valeo Schalter und Sensoren, Braunschweig
  2. Application Manager (m/w/d)
    Intrum Deutschland GmbH, Heppenheim
Detailsuche

Die beiden Sicherheitsforscher Ecular Xu und Joseph C Chen entdeckten die Apps Camero (Kamera-App), Filecrypt Manager (Dateimanager) und Callcam (Videotelefonie) kurz nach der Veröffentlichung von Google. Camero und Filecrypt Manager fungieren als Dropper, laden die App Callcam von einem Command-and-Control-Server herunter und installieren sie. Dabei nutzen sie unterschiedliche Tricks, um die Installation vor dem Android-Nutzer zu verbergen.

Mit Root-Rechten und Barrierefreiheit die Nutzer täuschen

Camero nutzt die Android-Sicherheitslücke eines Use-after-free-Bugs im Linux-Kernel, mit dem sich auf Android-Telefonen die Rechte ausweiten lassen. Besonders bedenklich: Google entdeckte selbst die Sicherheitslücke bereits eineinhalb Jahre zuvor und erstellte einen Patch - reichte diesen jedoch nicht an die eigenen Geräte weiter.

Dies nutzen die Schadsoftware-Autoren von Camero aus, um Root-Rechte zu erlangen und so unbemerkt die App Callcam installieren zu können. Laut Trend Micro funktionierte die Rechteausweitung auf dem Google Pixel 2 und 2 XL sowie Nokia 3, LG V20, Oppo F9 und Redmi 6A. Die App Filecrypt Manager funktioniert auf nahezu allen Android-Smartphones und bittet den Nutzer um Nutzung der Barrierefreiheit - dies diene der besseren Performance. Einmal gewährt, nutzt die App die Barrierefreiheitsfunktion, um ein Vollbildfenster anzuzeigen; die darunterliegenden Fenster sind versteckt. Im Hintergrund erlaubt die App die Installation unbekannter Apps, installiert Callcam und erteilt dieser weitere Rechte - dazu verwendet sie ebenfalls die Barrierefreiheitsfunktion.

Callcam spioniert Nutzer aus

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
Weitere IT-Trainings

Die auf einem dieser Wege installierte App Callcam sammelt vielfältige Daten über den Nutzer, verschlüsselt diese und sendet sie an die Angreifer. Darunter sind der Standort, die Dateien auf dem Gerät, Bildschirmfotos sowie verschiedene Systeminformationen wie der Batteriestand oder Wi-Fi-Informationen. Dazu kommen Daten aus Apps wie Wechat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail und Chrome. Damit der Nutzer die App Callcam nicht bemerkt, versteckt sie ihr Icon. Trend Micro vermutet, dass die Angreifer seit März 2019 aktiv sind. Dies lege das Zertifikat in einer der drei Apps nahe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Schlecht getarnte Tarnorganisation praktisch enttarnt

Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.

Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
Artikel
  1. Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
    Digitalisierung
    500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

    Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /