• IT-Karriere:
  • Services:

Strandhogg: Sicherheitslücke in Android wird aktiv ausgenutzt

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

Artikel veröffentlicht am ,
Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt.
Die Sicherheitslücke Strandhogg wurde nach einer Wikinger-Taktik benannt. (Bild: Promon/CC0 1.0)

Eine Sicherheitslücke in Android ermöglicht Schadsoftware, sich als andere, legitime Apps zu tarnen. Betroffen sind die Android-Versionen 6 bis 10. Die Lücke wird bereits aktiv ausgenutzt, um beispielsweise den Bankingtrojaner Bankbot zu installieren - einen Patch gibt es derzeit nicht. Die Sicherheitsfirmen Promon und Lookout haben die Lücke entdeckt und ihr den Namen Strandhogg - nach einer Wikinger-Taktik, mit der Küstengebiete überfallen und Lösegeld für gefangene Menschen gefordert wurde - gegeben. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Stellenmarkt
  1. Deutschland sicher im Netz e.V., Berlin
  2. über duerenhoff GmbH, Raum Karlsruhe

Seit Android Version 6 kann die Schad-App taskAffinity auf eine oder mehrere ihrer Aktivitäten setzen, die dem Namen einer anderen App entspricht. Anschließend kann die Schad-App die Aktivität eine Ziel-App übernehmen. Beim nächsten Antippen des Icons der Ziel-App wird die Aktivität der Schad-App gestartet - auf diese Weise lässt sich beispielsweise ein Login-Bildschirm im Stil der Ziel-App anzeigen und die vom Nutzer eingegebenen Login-Daten abfangen.

Die Schad-App kann aber auch nach Berechtigungen fragen, beispielsweise dem Zugriff auf SMS, Standort, Kamera oder Mikrofon. Wird diese erteilt, kann die Schad-App den Nutzer mit den Berechtigungen überwachen. Besteht beispielsweise ein Zugriff auf die SMS und wurden zuvor die Login-Daten einer Bank-App abgegriffen, kann ein Angreifer Überweisungen triggern und mit der ausgelesenen mTAN bestätigen.

Einen solchen Angriff können Nutzer nur schwer erkennen, bevor es zu spät ist. Allerdings können sie laut Promon auf verschiedene Auffälligkeiten achten. Beispielsweise sei es verdächtig, wenn eine App, bei der ein Nutzer bereits angemeldet ist, erneut nach den Zugangsdaten frage oder der Nutzer Berechtigungsanfragen ohne einen App-Namen erhalte. Ebenfalls verdächtig sei es, wenn eine App nach einer Berechtigung frage, die sie nicht benötige. Auch Tippfehler oder nicht reagierende Buttons in der App-Oberfläche könnten ein Hinweis auf einen Angriff sein.

Mindestens 36 Schad-Apps nutzen die Sicherheitslücke aus

Die Sicherheitsfirma Lookout konnte bereits 36 Apps ausfindig machen, die die Sicherheitslücke ausnutzen. Die betroffenen Apps nennt die Sicherheitsfirma allerdings nicht. Diese seien zum Teil auch im Google Play Store zu finden gewesen, allerdings hätten sie die Schadsoftware nicht enthalten, sondern diese erst nach der Installation nachgeladen - sogenannte Dropper-Apps. Google hat die betroffenen Apps nach einem Hinweis aus dem Play Store gelöscht. Diese sollen unter anderem den Trojaner Bankbot installieren, der es auf die Zugangsdaten von Banken-Apps und mTANs, die per SMS zugestellt werden, abgesehen hat. Bankbot war in der Vergangenheit immer wieder im Play Store aufgetaucht.

Promon entdeckte die Sicherheitslücke bereits im Sommer und meldete sie an Google. Die Sicherheitsfirma gab Google 90 Tage Zeit, um die Lücke zu beheben, bevor sie nun veröffentlicht wurde. Erst Ende November wurde bekannt, dass sich Textnachrichten über den SMS-Nachfolger RCS einfach mitlesen lassen. Apps brauchen hierfür keine extra Berechtigung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 424€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)
  2. 199,90€ (Bestpreis!)
  3. (u. a. Fallout Bombs Drop Event (u. a. Fallout 76 für 14,99€, Fallout 4: Game of the Year...
  4. (u. a. be quiet! PURE BASE 600 Window Tower-Gehäuse für 74,90€, Sharkoon QuickStore Portable...

ldlx 07. Dez 2019

Und nun denk nochmal drüber nach, was alle diese Anbieter gemeinsam haben... - alle aus...

pre3 05. Dez 2019

So ist es, hier kehrt sich die Marktmacht leider ins Negative um, ähnlich wie bei MS...

Faksimile 04. Dez 2019

Aber nur relativ junge Geräte. Ältere Samsung Tablet bekommen z.B keine Updates

quasides 04. Dez 2019

grundsätzlich unterstelle ich amazon negativen intent allerdings in dem fall sind sie...

FreiGeistler 04. Dez 2019

Dass du vorschnell rumposaunst? Weil Magisk extra dafür entwickelt wurde, dass Apps den...


Folgen Sie uns
       


    •  /