Vorsicht

Stagefright: Trojaner statt Sicherheits-Update

Die Sicherheits-Updates der Hersteller lassen auf sich warten, aber Cyberkriminelle nutzen die Angst vor der Stagefright-Lücke schon auf ihre Weise aus: Ein Trojaner tarnt sich als Sicherheits-Patch von Google.
Von Marie-Anne Winter

Ein als Sicherheits-Update getarnter Trojaner nutzt die Angst vor der Stagefright-Lücke aus. Ein als Sicherheits-Update getarnter Trojaner nutzt die Angst vor der Stagefright-Lücke aus.
Bild: dpa Es ist ein Elend mit Android und dem Kampf um mehr Sicherheit: Noch bieten meisten Hersteller keine Updates an, um die gefährlichen Stagefright-Lücken zu schließen. Cyberkriminelle hingegen können längst liefern: Bei dem vermeintlichen Update handelt es sich aber tatsächlich um einen Trojaner.

Wie heise.de berichtet, tun die Betrüger in einer vermeintlich von Google stammenden E-Mail so, als Ein als Sicherheits-Update getarnter Trojaner nutzt die Angst vor der Stagefright-Lücke aus. Ein als Sicherheits-Update getarnter Trojaner nutzt die Angst vor der Stagefright-Lücke aus.
Bild: dpa sei es zu einem vermutlich unberechtigten Zugriff aus Russland auf das Google-Konto des Empfängers gekommen. Dabei verweisen sie auf die Stagefright-Sicherheitslücken in der zentralen Multimedia-Schnittstelle von Android. Es heißt, der gefährliche Spam sei in korrektem Deutsch formuliert - als Grundlage für den Text der E-Mail wurde eine echte Benachrichtigungsmail von Google benutzt, die um die Informationen zu Stagefright ergänzt wurde, einschließlich einer korrekten CVE-Nummer von einer der bekannt gewordenen Lücken.

Die Absender fordern den Empfänger der E-Mail auf, ein in der Mail verlinktes Sicherheitsupdate mit dem Dateinamen CVE-2015-1538.apk über Sideloading zu installieren. Bei der Datei handelt es sich allerdings nicht um einen Security-Patch, sondern um einen Android-Trojaner. Eine Sandbox-Analyse von heise Security und Untersuchungen des Center for IT-Security, Privacy, and Accountability (CISPA) haben ergeben, dass es sich dabei um das kommerzielle Remote-Administration-Tool (RAT) DroidJack handelt, das einen weitreichenden Fernzugriff auf das Android-Gerät erlaubt.

Die Hersteller sind gefordert

Die zu DroidJack gehörende Konfigurations-Software bietet eine Funktion namens "APK Binder", mit der sich der Android-Client in jeder beliebigen App verstecken lässt. Das Ergebnis sei ein klassischer Trojaner, der auf Kamera, Mikrofon und GPS-Koordinaten zugreift und sich unter anderem Rechte einräumt, um SMS zu verschicken, zu telefonieren oder Speicherkarten auszulesen. Er soll unter anderem mit dem Server droid.deutsche-db-bank.ruv kommunizieren.

Natürlich bietet der Trojaner auch keinen Schutz vor der Ausnutzung der Stagefright-Lücken. Wer die Sicherheitslücken in seinem Android-Gerät schließen will, muss darauf hoffen, dass der Hersteller seines Android-Gerätes ein entsprechendes Update herausbringt. Zwar haben einige Hersteller versprochen, künftig monatliche Updates herauszubringen, aber das prinzipielle Problem, dass gerade die Besitzer älterer und/oder günstigerer Smartphones spät oder gar nicht mit Updates versorgt werden, ist damit nicht behoben.

Alternativ wäre auch möglich, eine geeignete Custom-ROM wie CyanogenMod auf seinem Smartphone zu installieren, um das Gerät sicherer zu machen. Wie das funktioniert, erklären wir in einer Hintergrundmeldung.

Mehr zum Thema Trojaner