System Update: Android-Spyware drei Jahre unentdeckt im Play Store
System Update: Android-Spyware im Google Play Store
Screenshot: zscaler.com
Die Sicherheitsforscher von Zscaler hatten im US-amerikanischen Google Play Store
die SMS-basierte Spyware-App SMSVova entdeckt, die seit 2014 zwischen einer und fünf Millionen Downloads
verzeichnen konnte. Das Perfide: die App tarnte sich mit dem Namen "System Update"
als aktuelles Software-Update für Android-Smartphones - tatsächlich war sie aber darauf
ausgelegt, die genauen Standort-Daten des Nutzers auszuspionieren und in Echtzeit an einen
potentiellen Angreifer weiterzuleiten.
System Update: Android-Spyware im Google Play Store
Screenshot: zscaler.com
Aufmerksam wurden die Forscher unter anderem durch Bewertungen und Kommentare von
hinters Licht geführten Nutzern im Play Store und durch die Aufmachung der zugehörigen
Play-Store-Seite, die leere Screenshots und keine App-Beschreibung enthielt, sondern lediglich
den irreführenden Hinweis: "This application updates and enables special location features".
Nachdem Google die Sicherheitswarnung vom Zscaler-Team erhalten hatte, wurde besagte App aus dem
Play Store entfernt.
So funktionierte die Spionage-App SMSVova
Sobald Nutzer die aus dem Play Store heruntergeladene App auf ihrem Gerät starten wollten, gab diese vor, den Installationsprozess abzubrechen und meldete, dass das Update gescheitert sei: "Unfortunately, Update Service has stopped". Danach war die App auf dem Homescreen nicht mehr sichtbar.
Die Spyware-App täuschte vor, nicht installiert zu werden.
Screenshot: zscaler.com
Entgegen der Fehlermeldung wurde die App aber tatsächlich installiert und veränderte
beim Installationsprozess ohne nochmalige Nachfrage verschiedene Einstellungen zur
Standort-Abfrage und dem SMS-Empfang. Als Resultat war es einem Angreifer dann möglich,
eine SMS mit dem Inhalt "get faq" an das infizierte Gerät zu senden und die App mit dem
Ausführen von Kommandozeilen antworten zu lassen. Ein anderer möglicher Zugang bestand darin,
bei niedrigem Batteriestand eine Standort-Meldung (Location allert) auszulösen.
Außerdem konnte die Spyware-App vom Angreifer mit einem Passwort geschützt oder auf
diese von außen mit dem Default-Passwort "Vova" zugegriffen werden. Nach Einstellen
von Telefonnummer und Passwort, konnte die App dann mit dem Senden der Standortdaten
an den Angreifer beginnen.
Vor allem die SMS-basierte Funktionsweise verhinderte vermutlich, dass die App von den Antivirenscannern aufgespürt werden konnte und hat dafür gesorgt, dass auch Google die Spyware solange in seinem App-Store übersah. Auffällig war für das Analyse-Team von Zcaler zudem noch ein weiterer Punkt: Die App enthielt einige Befehlszeilen des Remote-Administration-Tools DroidJack, das sich vor einigen Jahren als Trojaner-Software im Zusammenhang mit einem ebenfalls gefakten Stagefright-Update entpuppte und dem nach damaliger Einschätzung der Sicherheitsexperten eine Bedeutung für das Phishing von mTAN im Online-Banking nachgesagt wurde.