Lipizzan: Google findet neue Staatstrojaner-Familie für Android

Erneut hat Google eine Android-Spyware gefunden. Die Software tarnte sich als harmlose App im Playstore, die Rooting-Funktion wird dann nachgeladen.

Artikel veröffentlicht am ,
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert.
Aufrufe von Android-Apps werden künftig per Seccomp gefiltert. (Bild: Werner Pluta/Golem.de)

Google hat Details über eine neue Spyware-Familie für Android veröffentlicht. Dabei handelt es sich um ein Programm, das bei rund 100 Android-Nutzern weltweit gefunden wurde und das von einer Softwarefirma mit dem Namen Equus Technology verkauft werden soll - vermutlich handelt es sich dabei also um einen kommerziellen Staatstrojaner.

Stellenmarkt
  1. IT-Projektleiter (m/w/d) als Enterprise Architecture Manager mit Fokus IT-Security
    Gasunie Deutschland Transport Services GmbH, Hannover
  2. SAP Business Analyst CO (m/w/d)
    Informations-Verarbeitungs-Zentrum (IVZ), verschiedene Standorte
Detailsuche

Der Quellcode der Software enthält nach Angaben von Google Verweise auf Produkte der Firma Equus Technologies. Im vergangenen Jahr hatte Google mit Chrysaor ebenfalls eine Spyware aus Israel entdeckt. Chrysaor soll wie die Pegasus-Malware für iOS von der Firma NSO Group stamment.

Lipizzan ist der Analyse zufolge eine mehrstufige Software, die zunächst über harmlos aussehende Programme aus Googles Play Store verbreitet wird. Rund 20 entsprechender Programme will Google im eigenen Store gefunden haben. Die eigene Technologie Google Play Protect konnte die entsprechenden Programme bei rund 100 Geräten weltweit ausfindig machen und deren weitere Ausführung verhindern. Als Namen der Apps gibt Google "Cleaner", "Notepad" oder "Sound Recorder" an.

Zweiter Schritt rootet das Smartphone

In einem zweiten Schritt lud die infizierte App dann weitere Schadsoftware nach und übermittelte verschiedene Informationen über das infizierte Gerät. Waren alle Bedingungen erfüllt, wurde das Gerät dann mit Hilfe der Spyware gerootet und Informationen fortlaufend an einen Command-and-Control-Server übermittelt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Dabei konnte die Software offenbar eine große Menge verschiedener Informationen auslesen, die deutlich über den Funktionsumfang einer Quellen-Telekommunikationsüberwachung (QTKÜ) hinausgehen. Dazu gehört das Aufzeichnen von Telefon- und VOIP-Gesprächen, die Überwachung des Standortes oder die Anfertigung von Mitschnitten über das integrierte Mikrofon. Auch Schnittstellen für verschiedene Apps wie Gmail, Skype oder Linkedin sollen in der Software enthalten sein.

Die Funktionen wurden in der App mit dem Namen com.android.mediaserver abgelegt, der nach Angaben von Google nichts mit dem notorisch für Sicherheitslücken anfälligen tatsächlichen Medienserver von Android zu tun hat. Google empfiehlt Nutzern, die Funktion Google Play Protect per Opt-in zu aktivieren. Dabei werden die auf dem Smartphone befindlichen Apps regelmäßig nach bekanntem Schadcode durchsucht - jeder Nutzer sollte daher selbst entscheiden, ob Google dieser Zugriff gewährt werden soll. Google Play Protect ist für Nutzer ab Android-Version 7.0 verfügbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymer Nutzer 14. Aug 2017

Einen Tod muss man sterben.

Anonymer Nutzer 14. Aug 2017

denkt der durchschnittliche Android User und macht weiter wie bisher. (Apple,MS dto)

lars.vorherr 31. Jul 2017

Findet keiner außer mir den Firmennamen so lustig :D Warum nennen die sich nicht gleich...

Bautz 31. Jul 2017

Also quasi "security by fragmentation" ;-) Da sollte man dann bei Windows 10 mobile...

Rulf 29. Jul 2017

ihre schnüffelproggies da platzieren, wo jedes gerät mühelos drauf zugreifen kann... dann...



Aktuell auf der Startseite von Golem.de
Astro
Amazons erster Roboter kostet 1.500 US-Dollar

Astro heißt der erste Roboter von Amazon. Es ist eine Art rollender Echo Show mit Schwerpunkt auf Videoüberwachung.

Astro: Amazons erster Roboter kostet 1.500 US-Dollar
Artikel
  1. Amazon Alexa: Neuer Echo Show mit Personenerkennung wird aufgehängt
    Amazon Alexa
    Neuer Echo Show mit Personenerkennung wird aufgehängt

    Amazon erfindet den Echo Show neu: Der Echo Show 15 hat ein besonders großes Display und kann Personen erkennen.

  2. Cupra Urban Rebel: VW-Tochter kündigt Elektrorenner für 25.000 Euro an
    Cupra Urban Rebel
    VW-Tochter kündigt Elektrorenner für 25.000 Euro an

    Autobauer Cupra bringt mit dem Urban Rebel ein günstiges Elektroauto für all jene auf den Markt, denen der ID.Life von VW zu langweilig ist.

  3. Blink Video Doorbell: Amazon stellt Videotürklingel für 60 Euro vor
    Blink Video Doorbell
    Amazon stellt Videotürklingel für 60 Euro vor

    Amazon hat eine Videotürklingel unter dem Blink-Label vorgestellt. Sie soll vor allem mit einem günstigen Preis überzeugen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Echo Show 15 249,99€ • eero 6 Wifi 6 System 3er-Pack 299€ • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 6 UHDs kaufen, nur 4 bezahlen [Werbung]
    •  /