Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

Artikel veröffentlicht am ,
Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt.
Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt. (Bild: Promon/CC0 1.0)

Eine Sicherheitslücke in Android ermöglicht Schadsoftware, sich als andere, legitime Apps zu tarnen. Betroffen sind die Android-Versionen 6 bis 10. Die Lücke wird bereits aktiv ausgenutzt, um beispielsweise den Bankingtrojaner Bankbot zu installieren - einen Patch gibt es derzeit nicht. Die Sicherheitsfirmen Promon und Lookout haben die Lücke entdeckt und ihr den Namen Strandhogg - nach einer Wikinger-Taktik, mit der Küstengebiete überfallen und Lösegeld für gefangene Menschen gefordert wurde - gegeben. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Stellenmarkt
  1. .NET software developer (m/f/d)
    PM-International AG, Speyer
  2. Inhouse IT / Microsoft Consultant (m/w/d)
    TenneT TSO GmbH, Bayreuth
Detailsuche

Seit Android Version 6 kann die Schad-App taskAffinity auf eine oder mehrere ihrer Aktivitäten setzen, die dem Namen einer anderen App entspricht. Anschließend kann die Schad-App die Aktivität eine Ziel-App übernehmen. Beim nächsten Antippen des Icons der Ziel-App wird die Aktivität der Schad-App gestartet - auf diese Weise lässt sich beispielsweise ein Login-Bildschirm im Stil der Ziel-App anzeigen und die vom Nutzer eingegebenen Login-Daten abfangen.

Die Schad-App kann aber auch nach Berechtigungen fragen, beispielsweise dem Zugriff auf SMS, Standort, Kamera oder Mikrofon. Wird diese erteilt, kann die Schad-App den Nutzer mit den Berechtigungen überwachen. Besteht beispielsweise ein Zugriff auf die SMS und wurden zuvor die Login-Daten einer Bank-App abgegriffen, kann ein Angreifer Überweisungen triggern und mit der ausgelesenen mTAN bestätigen.

Einen solchen Angriff können Nutzer nur schwer erkennen, bevor es zu spät ist. Allerdings können sie laut Promon auf verschiedene Auffälligkeiten achten. Beispielsweise sei es verdächtig, wenn eine App, bei der ein Nutzer bereits angemeldet ist, erneut nach den Zugangsdaten frage oder der Nutzer Berechtigungsanfragen ohne einen App-Namen erhalte. Ebenfalls verdächtig sei es, wenn eine App nach einer Berechtigung frage, die sie nicht benötige. Auch Tippfehler oder nicht reagierende Buttons in der App-Oberfläche könnten ein Hinweis auf einen Angriff sein.

Mindestens 36 Schad-Apps nutzen die Sicherheitslücke aus

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Die Sicherheitsfirma Lookout konnte bereits 36 Apps ausfindig machen, die die Sicherheitslücke ausnutzen. Die betroffenen Apps nennt die Sicherheitsfirma allerdings nicht. Diese seien zum Teil auch im Google Play Store zu finden gewesen, allerdings hätten sie die Schadsoftware nicht enthalten, sondern diese erst nach der Installation nachgeladen - sogenannte Dropper-Apps. Google hat die betroffenen Apps nach einem Hinweis aus dem Play Store gelöscht. Diese sollen unter anderem den Trojaner Bankbot installieren, der es auf die Zugangsdaten von Banken-Apps und mTANs, die per SMS zugestellt werden, abgesehen hat. Bankbot war in der Vergangenheit immer wieder im Play Store aufgetaucht.

Promon entdeckte die Sicherheitslücke bereits im Sommer und meldete sie an Google. Die Sicherheitsfirma gab Google 90 Tage Zeit, um die Lücke zu beheben, bevor sie nun veröffentlicht wurde. Erst Ende November wurde bekannt, dass sich Textnachrichten über den SMS-Nachfolger RCS einfach mitlesen lassen. Apps brauchen hierfür keine extra Berechtigung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ldlx 07. Dez 2019

Und nun denk nochmal drüber nach, was alle diese Anbieter gemeinsam haben... - alle aus...

pre3 05. Dez 2019

So ist es, hier kehrt sich die Marktmacht leider ins Negative um, ähnlich wie bei MS...

Faksimile 04. Dez 2019

Aber nur relativ junge Geräte. Ältere Samsung Tablet bekommen z.B keine Updates

quasides 04. Dez 2019

grundsätzlich unterstelle ich amazon negativen intent allerdings in dem fall sind sie...

FreiGeistler 04. Dez 2019

Dass du vorschnell rumposaunst? Weil Magisk extra dafür entwickelt wurde, dass Apps den...



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /