Categories: MobileMobile OS

Android-Spyware gibt sich als Systemupdate aus

Der Sicherheitsanbieter Zimperium ist auf eine neue Schadsoftware für Googles Mobilbetriebssystem Android gestoßen. Die als sehr fortschrittlich eingestufte Malware gibt sich als Update für das Betriebssystem aus. Tatsächlich installieren Nutzer jedoch eine Spyware, die persönliche Daten ausspäht.

Bisher wird das falsche Systemupdate ausschließlich über Marktplätze von Drittanbietern verteilt. Einen Weg in den offiziellen Play Store von Google fanden die Hintermänner demnach noch nicht.

Wird die Spyware installiert, registriert sie das Gerät bei einem Befehlsserver, der auf Googles Entwicklungs-Plattform Firebase basiert. Er versorgt die Schadsoftware mit neuen Anweisungen. Der Diebstahl von Daten wird indes über einen eigenen Server der Angreifer abgewickelt.

Den Forschern zufolge wird die Spyware durch bestimmte Auslöser aktiviert. Ihre Arbeit nimmt sie beispielsweise auf, sobald ein Nutzer einen neuen Kontakt anlegt, eine App installiert oder eine SMS erhält.

Zum Funktionsumfang der Malware gehört der Diebstahl von Standortdaten, SMS-Nachrichten, Adressbüchern, Bildern und Videos. Außerdem sind die Hintermänner in der Lage, heimlich Audioaufnahmen anzufertigen und Fotos aufzunehmen, den Browserverlauf und die Favoriten auszulesen und Telefonate abzuhören. Auch auf allgemeine Gerätedaten und eine Liste aller installierten Apps haben es die Hacker abgesehen.

Darüber hinaus versucht sich der Schädling, die Rechte für die Android-Bedienungshilfen zu sichern. Das erlaubt es ihm, auch auf Messenger-Inhalte beispielsweise von WhatsApp zuzugreifen. Zudem passt sich die Spyware an die vorhandene Internetverdingung an. Per WLAN werden alle verfügbaren Daten an den Befehlsserver übertragen – steht lediglich eine Mobilfunkverbindung zur Verfügung, beschränkt sie sich auf ausgewählte Daten.

Eine weitere Besonderheit ist den Forschern zufolge, dass die Malware die auszuspähenden Daten mit bestimmten Zeitbeschränkungen versieht. So werden beispielsweise nur Standortdaten abgezogen, die mehr als fünf Minuten alt sind – das Auslesen und Übermitteln neuer Standortdaten wird jedoch regelmäßig wiederholt. Fotos müssen indes mindestens vor 40 Minuten aufgenommen worden sein. Zimperium spricht deswegen von einer “fortschrittlichen Spyware-Kampagne mit umfangreichen Funktionen”.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hat die zunehmende Dominanz von Microsoft in der IT-Security Folgen?

Microsoft erobert zunehmend den Markt für Cybersicherheit und setzt damit kleinere Wettbewerber unter Druck, sagt…

23 Stunden ago

Frauen in IT-Führungspositionen stark unterrepräsentiert

Nur 14 Prozent der Führungskräfte in der IT sind weiblich. Warum das so ist und…

24 Stunden ago

Drei Viertel aller deutschen KMUs testen ihre Backups nicht regelmäßig

Obwohl ein Großteil der Unternehmen regelmäßig Backups durchführt, bleiben Tests zur tatsächlichen Funktionsfähigkeit häufig aus.

24 Stunden ago

RansomHub übernimmt kriminelles Erbe von LockBit & Co.

Laut ESET-Forschern hat sich die Gruppe RansomHub innerhalb kürzester Zeit zur dominierenden Kraft unter den…

5 Tagen ago

GenKI: Deutsche Firmen international nur Mittelmaß

Damit hängt die hiesige Wirtschaft beim Einsatz der Technologie zwar nicht zurück, ist jedoch auch…

5 Tagen ago

RedCurl-Ransomware attackiert Hypervisoren

Bitdefender-Labs-Analyse der ersten digitalen Erpressung von RedCurl zeigt, dass Angreifer lange unentdeckt bleiben wollen und…

6 Tagen ago