Phonespy kann das Gerät übernehmen. (Grafik: Mary Long/Shutterstock)
Experten des auf mobile Sicherheit fokussierten Unternehmens Zimperium sind einer neuen Spyware namens Phonespy auf die Schliche gekommen. Inzwischen konnten sie den Trojaner in 23 Apps nachweisen, die sich allesamt als legitime Lifestyle-Apps präsentieren. Bislang konzentriert sich Phonespy auf südkoreanische Nutzerinnen und Nutzer.
Mit offenem Visier: Phonespy nutzt keine Schwachstellen
Der Phonespy-Trojaner versucht nicht, sich unbemerkt und über Schwachstellen der Geräte einzunisten. Vielmehr kommt er ganz offen als Bestandteil verschiedener Apps daher und bleibt auch im Schatten dieser Apps aktiv. Betroffene Anwendungen dienen etwa dem Videostreaming oder bieten Yoga-Anleitungen zum Mitmachen.
Im Hintergrund jedoch arbeitet Phonespy und schöpft heimlich Daten vom Gerät des Opfers ab. Unter diesen Daten finden sich Logins, Nachrichten, genaue Standortangaben und sogar Bilder. Phonespy soll zudem in der Lage sein, beliebige Anwendungen zu deinstallieren. So könnte der Trojaner auch mobile Sicherheitsanwendungen entfernen.
Die Zimperium-Experten konnten feststellen, dass Phonespy sogar unbemerkt und in Echtzeit auf die Kamera des Opfers zugreifen kann, um Bilder und Videos aufzunehmen. Diese Möglichkeit könnte nicht nur für Spionage, sondern ebenso zu Erpressungszwecken genutzt werden.
Einfacher Schutz #1: Aufpassen bei der Berechtigungsvergabe
Ganz schutzlos sind Nutzende nicht. Zum einen verlangen die legitim aussehenden Anwendungen alle möglichen Berechtigungen auf dem Gerät an. Dabei handelt es sich um ein typisches Warnsignal, das inzwischen jedem Smartphone-Nutzenden bekannt sein sollte. Sind die Berechtigungen erst einmal erteilt, wird es schwer, den Zugriff noch zu verhindern. Denn die Angreifer können die Kontrolle übernehmen und die App sogar ganz aus dem Menü des Benutzers ausblenden, wie Richard Melick von Zimperium erläutert.
Einfacher Schutz #2: Kein Sideload, kein Phonespy
Neben der kritischen Betrachtung der Frage, welche App welche Berechtigungen erhalten soll, können sich Nutzende auf eine weitere einfache Weise schützen. Apps, die mit Phonespy ausgestattet sind, sind nach Forschererkenntnissen nicht in Googles Play-Store gelistet. Phonespy-Apps können also nur per Sideloading, also aus „unsicheren Quellen“ installiert werden. Wer darauf konsequent verzichtet, kann sich die Malware nicht fangen. Die Angreifer setzen dabei auf die üblichen Tricks, etwa auf die Umleitung des Webverkehrs oder Social Engineering, um Nutzende dazu zu bringen, die App zu installieren.
„Phonespy wird über bösartige und gefälschte Apps verbreitet, die auf die Geräte der Opfer heruntergeladen und als Sideload installiert werden“, so Melick. „Es gibt Hinweise darauf, dass die Verbreitung über eine Umleitung des Internetverkehrs oder Social Engineering wie Phishing erfolgt, wobei der Endnutzer dazu verleitet wird, eine vermeintlich legitime App von einer kompromittierten Website oder einem direkten Link herunterzuladen.“
Tool nicht völlig neu, nutzt bekannten Code
Phonespy soll laut Zimperium schon Tausende von Opfern in Südkorea gefordert haben. Die Bekämpfung erweist sich als komplex, weil Phonespy viele Ähnlichkeiten mit anderen bekannten und früher verwendeten Spyware- und Stalkerware-Anwendungen aufweist. Diese Verwendung von „Standardcode“ erleichtere es den Angreifern, „ihre Identität zu verschleiern“.
Obwohl Zimperium nach eigenen Angaben die US-amerikanischen und südkoreanischen Behörden über die Spyware informiert und den Host des Befehls- und Kontrollservers mehrfach gemeldet hat, soll Phonespy noch immer aktiv sein Unwesen treiben.
Warum werden nicht die Namen der betroffenen Apps genannt? Das würde den Nutzer doch leicht die Möglichkeit bieten zu prüfen, ob Sie auch betroffen sind.
Hätte ich gerne gemacht. Sind aber bislang ausschließlich koreanische. Würde hier wenig nutzen.
und was soll dann der ganze Artikel für deutschsprachige Leser, wenn es nur koreanische Apps betrifft? Oh Mann….