News

Diese Android-Malware wurde millionenfach aus Play Store runtergeladen

(Screenshot: Zscaler)

Eine Spionagesoftware für Android, die den Aufenthaltsort der Nutzer an Angreifer melden kann, blieb über Jahre unentdeckt. Die App brauchte seit 2014 nicht einmal ein Update, um der Erkennung zu entgehen. 

Ein Trojaner für Android ist von Nutzern über Jahre hinweg offenbar freiwillig installiert worden - über Googles Play Store. Die Software mit dem Namen „System Update“ gaukelt Android-Nutzern das oft lang ersehnte Update auf eine neue Version des Betriebssystems vor, hat aber keine wirkliche Funktion. Wie die Sicherheitsfirma Zcaler schreibt, hatte die App zum Zeitpunkt der Löschung durch Google zwischen einer und fünf Millionen Installationen. Die Software soll im Jahr 2014 das letzte Mal aktualisiert worden sein, funktionierte wohl aber weiterhin.

Die Malware wird offenbar vor allem dazu genutzt, den Standort eines Nutzers zu ermitteln. Befehle nimmt die ansonsten funktionslose App per SMS entgegen und durchsucht dafür regelmäßig den SMS-Ordner der Nutzer. Bekommt die App eine versteckte SMS mit einem Aktivierungsbefehl, wird der letzte bekannte Standort des Nutzers an den Server der Angreifer gesendet.

Nutzer muss Rechte einräumen

Damit die App funktioniert, braucht sie die entsprechenden Rechte zur Ermittlung des Standortes. Je nach verwendeter Androidversion werden diese schon bei der Installation der App oder später bei erster Verwendung der Funktion abgefragt. Letzteres könnte bei Nutzern zu Misstrauen führen. Die App soll bis hinunter zur Android-Version 2.2 funktionieren.

Die Funktionsweise der App ist offenbar derart ungewöhnlich, dass sie von keiner gängigen Antivirussoftware entdeckt wird. Tatsächlich ist Antvirussoftware auf Smartphones deutlich schlechter als bei Desktoprechnern und fällt eher durch Sicherheitslücken als durch sinnvolle Funktionen und tatsächliche Entdeckungen auf. Auf Virustotal habe keine von mehr als 50 getesteten Engines die Malware erkannt, schreibt Zscaler.

Auch bei Google blieb die bösartige App lange unentdeckt. Nach Angaben von Zscaler wird der Code von „System Update“ auch im Code von anderer Malware, wie etwa dem Trojaner Droidjack, verwendet. Wenn die App auf dem Smartphone installiert ist, dürfte sie in Kürze durch Googles Verify-App-Programm entdeckt werden.

Autor des Artikels ist Hauke Gierow.

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
Thomas

Selbst schuld. Wer etwas derart ominöses aus dem Play Store installiert hat es kaum anders verdient.

Antworten
PeteW

Software, von der man nicht weiss, was Sie macht, sollte man die Finger lassen. Oder deinstallieren...

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung