Android-Spyware gibt sich als Systemupdate aus

Der Sicherheitsanbieter Zimperium ist auf eine neue Schadsoftware für Googles Mobilbetriebssystem Android gestoßen. Die als sehr fortschrittlich eingestufte Malware gibt sich als Update für das Betriebssystem aus. Tatsächlich installieren Nutzer jedoch eine Spyware, die persönliche Daten ausspäht.

Bisher wird das falsche Systemupdate ausschließlich über Marktplätze von Drittanbietern verteilt. Einen Weg in den offiziellen Play Store von Google fanden die Hintermänner demnach noch nicht.

Wird die Spyware installiert, registriert sie das Gerät bei einem Befehlsserver, der auf Googles Entwicklungs-Plattform Firebase basiert. Er versorgt die Schadsoftware mit neuen Anweisungen. Der Diebstahl von Daten wird indes über einen eigenen Server der Angreifer abgewickelt.

Den Forschern zufolge wird die Spyware durch bestimmte Auslöser aktiviert. Ihre Arbeit nimmt sie beispielsweise auf, sobald ein Nutzer einen neuen Kontakt anlegt, eine App installiert oder eine SMS erhält.

Zum Funktionsumfang der Malware gehört der Diebstahl von Standortdaten, SMS-Nachrichten, Adressbüchern, Bildern und Videos. Außerdem sind die Hintermänner in der Lage, heimlich Audioaufnahmen anzufertigen und Fotos aufzunehmen, den Browserverlauf und die Favoriten auszulesen und Telefonate abzuhören. Auch auf allgemeine Gerätedaten und eine Liste aller installierten Apps haben es die Hacker abgesehen.

Darüber hinaus versucht sich der Schädling, die Rechte für die Android-Bedienungshilfen zu sichern. Das erlaubt es ihm, auch auf Messenger-Inhalte beispielsweise von WhatsApp zuzugreifen. Zudem passt sich die Spyware an die vorhandene Internetverdingung an. Per WLAN werden alle verfügbaren Daten an den Befehlsserver übertragen – steht lediglich eine Mobilfunkverbindung zur Verfügung, beschränkt sie sich auf ausgewählte Daten.

Eine weitere Besonderheit ist den Forschern zufolge, dass die Malware die auszuspähenden Daten mit bestimmten Zeitbeschränkungen versieht. So werden beispielsweise nur Standortdaten abgezogen, die mehr als fünf Minuten alt sind – das Auslesen und Übermitteln neuer Standortdaten wird jedoch regelmäßig wiederholt. Fotos müssen indes mindestens vor 40 Minuten aufgenommen worden sein. Zimperium spricht deswegen von einer “fortschrittlichen Spyware-Kampagne mit umfangreichen Funktionen”.