Neue Android-Malware mit umfangreichen Spionagefunktionen gefunden

Android Malware

Forscher haben eine neue fortschrittliche Android-Malware entdeckt, die auf infizierten Geräten gespeicherte sensible Informationen findet und an von Angreifern kontrollierte Server sendet.

Die App tarnt sich als System-Update, das von einem Drittanbieter-Store heruntergeladen werden muss, so die Forscher der Sicherheitsfirma Zimperium am Freitag. In Wirklichkeit handelt es sich um einen Remote-Access-Trojaner, der Befehle von einem Command-and-Control-Server empfängt und ausführt. Er bietet eine voll funktionsfähige Spionageplattform, die eine breite Palette von bösartigen Aktivitäten ausführt.

Zimperium listet die folgenden Fähigkeiten auf:

  • Stehlen von Instant-Messenger-Nachrichten
  • Stehlen von Instant-Messenger-Datenbankdateien (wenn Root verfügbar ist)
  • Inspektion der Lesezeichen und Suchvorgänge des Standardbrowsers
  • Untersuchen des Lesezeichen- und Suchverlaufs von Google Chrome, Mozilla Firefox und Samsung Internet Browser
  • Suche nach Dateien mit bestimmten Erweiterungen (einschließlich .pdf, .doc, .docx, und .xls, .xlsx)
  • Untersuchen der Daten in der Zwischenablage
  • Untersuchen des Inhalts von Benachrichtigungen
  • Aufnehmen von Audio
  • Aufnehmen von Telefongesprächen
  • Regelmäßiges Aufnehmen von Bildern (entweder über die vordere oder hintere Kamera)
  • Auflisten der installierten Anwendungen
  • Stehlen von Bildern und Videos
  • Überwachung des GPS-Standorts
  • Stehlen von SMS-Nachrichten
  • Stehlen von Telefonkontakten
  • Stehlen von Anrufprotokollen
  • Exfiltrieren von Geräteinformationen (z. B. installierte Anwendungen, Gerätename, Speicherstatistiken)
  • Verbergen der Anwesenheit durch Ausblenden des Symbols im Drawer/im Menü des Geräts

Zu den Messaging-Apps, die für den Datenbankdiebstahl anfällig sind, gehört WhatsApp. Wie bereits erwähnt, kann auf die Datenbanken nur zugegriffen werden, wenn die Malware Root-Zugriff auf das infizierte Gerät hat. Hacker sind in der Lage, Root-Zugriff auf infizierte Geräte zu erhalten, wenn diese mit älteren Android-Versionen betrieben werden.

Wenn die bösartige App keinen Root-Zugriff erhält, kann sie trotzdem Konversationen und Nachrichtendetails von WhatsApp sammeln, indem sie Benutzer dazu bringt, die Android-Zugangsdienste zu aktivieren. Eingabehilfedienste sind in das Betriebssystem integrierte Steuerelemente, die Benutzern mit Sehbehinderungen oder anderen Behinderungen die Verwendung von Geräten erleichtern, indem sie beispielsweise die Anzeige ändern oder das Gerät eine gesprochene Rückmeldung geben lassen. Sobald die Eingabehilfsdienste aktiviert sind, kann die bösartige App den Inhalt des WhatsApp-Bildschirms auslesen.

Eine weitere Möglichkeit ist das Stehlen von Dateien, die auf dem externen Speicher eines Geräts gespeichert sind. Um den Bandbreitenverbrauch zu reduzieren, der ein Opfer darauf hinweisen könnte, dass ein Gerät infiziert ist, stiehlt die bösartige App Bild-Thumbnails, die viel kleiner sind als die Bilder, denen sie entsprechen. Wenn ein Gerät mit einer Wi-Fi-Verbindung verbunden ist, sendet die Malware gestohlene Daten aus allen Ordnern an die Angreifer. Wenn nur eine mobile Verbindung zur Verfügung steht, sendet die Malware einen eingeschränkteren Satz von Daten.

So umfangreich die Spionageplattform auch ist, sie leidet unter einer entscheidenden Einschränkung: Sie kann Geräte nur infizieren, wenn der Benutzer dies zulässt. Zunächst müssen die Benutzer die App von einer Drittanbieterquelle herunterladen. So problematisch der Play Store von Google auch ist, er ist im Allgemeinen ein vertrauenswürdigerer Ort, um Apps zu erhalten. Außerdem müssen die Benutzer durch Social-Engineering dazu gebracht werden, Zugänglichkeitsdienste zu aktivieren, damit einige der erweiterten Funktionen funktionieren.

Google lehnte einen Kommentar ab, außer zu wiederholen, dass die Malware nie im Play Store verfügbar war.

Quelle(n):
arsTECHNICA

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert