Nur schwer löschbar: Android-Malware millionenfach über Google Play verteilt
Sicherheitsforscher von McAfee warnen vor einer neu entdeckten Android-Malware namens Novoice, die über mehr als 50 verschiedene Apps im Google Play Store verbreitet wurde. Zusammen sollen diese Apps mehr als 2,3 Millionen Mal heruntergeladen worden sein. Betroffen sind nur ältere Android-Geräte, die mehrere Jahre nicht gepatcht wurden. Die Malware lässt sich teilweise nur schwer wieder entfernen.
Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) ist Novoice Teil einer Rootkit-Kampagne. Die Malware wurde über Android-Apps verbreitet, die als Spiele, Galerie-Anwendungen und andere praktische Tools getarnt waren. Die versprochenen Funktionen waren auch tatsächlich vorhanden, so dass Anwender keinen Verdacht schöpften.
Den Angaben zufolge wurde jedoch beim Start einer der betroffenen Apps im Hintergrund jeweils eine Verbindung zu einem externen Server aufgebaut, um Exploits nachzuladen, die auf die Hard- und Software des jeweiligen Android-Gerätes zugeschnitten waren. Diese Exploits zielten auf die Ausnutzung alter Sicherheitslücken ab, für die schon in den Jahren 2016 bis 2021 Patches bereitgestellt wurden.
Hartnäckig ins System eingenistet
Durch die Ausnutzung dieser alten Sicherheitslücken konnte die Novoice-Malware tiefer ins System eindringen. Die Angreifer erhielten damit die vollständige Kontrolle über das jeweilige Zielgerät und konnten eine wichtige Systembibliothek überschreiben. Dadurch habe "jede App auf dem Gerät beim Start den Code des Angreifers ausgeführt" , heißt es – ähnlich wie es auch bei Triada und Keenadu der Fall ist.
Das ermöglichte es den Angreifern, beliebigen Schadcode einzuschleusen und normalerweise geschützte Daten aus Whatsapp und anderen installierten Anwendungen abzugreifen. Android-Geräte, die mindestens auf dem Patch-Stand vom 1. Mai 2021 sind, sind laut McAfee nicht anfällig, da spätestens mit diesem alle ausgenutzten Sicherheitslücken geschlossen waren.
Hinsichtlich der Bereinigung erwies sich das Rootkit bei den Untersuchungen der Forscher insbesondere auf Geräten mit Android 7 oder älter als äußerst hartnäckig. "Ein standardmäßiger Werksreset entfernt es nicht. Nur ein erneutes Flashen des Geräts mit einer sauberen Firmware stellt das Gerät vollständig wieder her" , heißt es diesbezüglich bei McAfee.
Afrika und Indien besonders betroffen
Eine Liste der Paketnamen der an der Novoice-Kampagne beteiligten Apps ist am Ende des McAfee-Blogbeitrags(öffnet im neuen Fenster) zu finden. Google soll diese aus dem Play Store entfernt haben, nachdem die Forscher den Konzern über ihre Funde informiert hatten. Anwender werden dann in der Regel auch über Google Play Protect(öffnet im neuen Fenster) gewarnt, sobald das Sicherheitstool bei seinen automatischen Hintergrundscans eine Infektion erkennt.
Die McAfee-Forscher zeigen in ihrem Beitrag eine Map bezüglich der Verbreitung von Novoice. Die meisten infizierten Geräte befinden sich demnach in Afrika und Indien, wo aus Kostengründen noch viele ältere Android-Geräte genutzt werden. Aber auch in Deutschland gibt es einige Infektionen, wenngleich McAfee keine genauen Infektionszahlen je Land nennt.
Der Vorfall verdeutlicht eindrucksvoll, wie wichtig es ist, aus dem Support gefallene Android-Geräte in absehbarer Zeit zu ersetzen, auch wenn diese für alltägliche Aufgaben hardwareseitig noch leistungsfähig genug sind. Wer über die nötige technische Expertise verfügt, kann je nach Gerät auch auf ein alternatives System wie LineageOS umsteigen und damit auch dann weiterhin Sicherheitsupdates erhalten, wenn der Hersteller selbst keine mehr bereitstellt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.