Abo
  • Services:

System-Update: Android-Malware millionenfach aus Play Store runtergeladen

Eine Spionagesoftware für Android, die den Aufenthaltsort der Nutzer an Angreifer melden kann, blieb über Jahre unentdeckt. Die App brauchte seit 2014 nicht einmal ein Update, um der Erkennung zu entgehen.

Artikel veröffentlicht am ,
Die Malware tarnt sich als System-Update.
Die Malware tarnt sich als System-Update. (Bild: Zscaler)

Ein Trojaner für Android ist von Nutzern über Jahre hinweg offenbar freiwillig installiert worden - über Googles Play Store. Die Software mit dem Namen "System Update" gaukelt Android-Nutzern das oft lang ersehnte Update auf eine neue Version des Betriebssystems vor, hat aber keine echte Funktion. Wie die Sicherheitsfirma Zcaler schreibt, hatte die App zum Zeitpunkt der Löschung durch Google zwischen 1 Million und 5 Millionen Installationen. Die Software soll im Jahr 2014 das letzte Mal aktualisiert worden sein, funktionierte wohl aber weiterhin.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. CG Car-Garantie Versicherungs-AG, Deutschland, Freiburg im Breisgau

Die Malware wird offenbar vor allem dazu genutzt, den Standort eines Nutzers zu ermitteln. Befehle nimmt die ansonsten funktionslose App per SMS entgegen und durchsucht dafür regelmäßig den SMS-Ordner der Nutzer. Bekommt die App eine versteckte SMS mit einem Aktivierungsbefehl, wird der letzte bekannte Standort des Nutzers an den Server der Angreifer gesendet.

Nutzer muss Rechte einräumen

Damit die App funktioniert, braucht sie die entsprechenden Rechte zur Ermittlung des Standortes. Je nach verwendeter Android-Version werden diese schon bei der Installation der App oder später bei erster Verwendung der Funktion abgefragt. Letzteres könnte bei Nutzern zu Misstrauen führen. Die App soll bis hinunter zur Android-Version 2.2 funktionieren.

Die Funktionsweise der App ist offenbar derart ungewöhnlich, dass sie von keiner gängigen Antivirussoftware entdeckt wird. Tatsächlich ist Antvirussoftware auf Smartphones deutlich schlechter als bei Desktoprechnern und fällt eher durch Sicherheitslücken als durch sinnvolle Funktionen und tatsächliche Entdeckungen auf. Auf Virustotal habe keine von mehr als 50 getesteten Engines die Malware erkannt, schreibt Zscaler.

Auch bei Google blieb die bösartige App lange unentdeckt. Nach Angaben von Zscaler wird der Code von System Update auch im Code von anderer Malware, wie etwa dem Trojaner Droidjack, verwendet. Wenn die App auf dem Smartphone installiert ist, dürfte sie in Kürze durch Googles Verify-App-Programm entdeckt werden.



Anzeige
Spiele-Angebote
  1. 7,49€
  2. 59,99€ - Release 12.10.
  3. (-81%) 5,69€
  4. (-72%) 13,99€

pre3 25. Apr 2017

Nur dass man als BB-Androidnutzer gar nicht erst auf die Suche gehen muss nach solchen...

Mauw 25. Apr 2017

Stimmt. Wäre bestimmt ein Feature.

Tuxgamer12 25. Apr 2017

Aber sicher doch. Die NSA hatte auch nur das Pech, bekannt geworden zu sein - die NSA...

exxo 25. Apr 2017

Von meinen Handys wurden bereits Apps ohne Nachfrage gelöscht

Tuxgamer12 24. Apr 2017

Kannst es auch expliziet in die AGBs schreiben - merkt sowieso niemand. Und selbst wenn...


Folgen Sie uns
       


AMD Ryzen 7 2700X - Test

Wie gut ist der Ryzen-Refresh? In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.

AMD Ryzen 7 2700X - Test Video aufrufen
EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Noctua NF-A12x25 im Test: Spaltlos lautlos
    Noctua NF-A12x25 im Test
    Spaltlos lautlos

    Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
    Ein Test von Marc Sauter

    1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
    2. Lüfter Noctua kann auch in Schwarz
    3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

      •  /