Firmenlink

ESET

 

Sicherheitsforscher warnen vor Android-Schwachstelle StrandHogg

Die Malware kann sich hinter legitimen Apps verstecken und so harmlos wirkend Zugriffsberechtigungen erfragen. Ein Patch ist noch nicht verfügbar.

von Claudia Maag 04.12.2019

Ein Schadcode soll sich hinter legitimen Apps verbergen und so Berechtigungen zum Spionieren anfordern, berichtet «Heise Online». Promon-Sicherheitsforscher haben die Android-Schwachstelle gefunden, die sie StrandHogg nennen. Einem Promon-Blog-Eintrag (Englisch) zufolge sollen alle Android-Versionen bis und mit Android 10 betroffen sein.

Die Schwachstelle ermöglicht es Malware, nach Berechtigungen zu fragen, während sie vorgibt, die legitime Anwendung zu sein. Angreifer könnten unter gewissen Voraussetzungen z.B. über das Mikrofon mithören, auf die Kamera oder das GPS zugreifen sowie SMS lesen und senden. Promon warnt vor derzeit laufenden Attacken dieser Art.

So funktionierts

Wenn sich die Malware auf einem Gerät befindet, könnten Angreifer dieses aus der Ferne attackieren. Wenn Sie auf ihrem Smartphone eine reguläre App öffnen, hinter der sich Schadcode verbirgt, erscheint ein Pop-up-Fenster, welches um Zugriffsberechtigung bittet – beispielsweise für das Lesen und Schreiben von SMS. Wer dies akzeptiert, gibt unwissentlich statt der genutzten App den Angreifern die Zugriffs-Erlaubnis.

So funktionierts So funktionierts Zoom© Screenshot/promon.co

Die Sicherheitsforscher zeigen in einem Video (s. unten) auch die Möglichkeit, dass die Malware ein Fake-Facebook-Login-Fenster anzeigen kann. Tippt ein Nutzer seine Login-Daten ein, gelangen Cyberkriminelle an diese Daten.

Voraussetzungen

StrandHogg ist insofern speziell, weil die Malware raffinierte Angriffe ermöglicht, ohne dass ein Gerät gerootet werden muss. Laut Blog nutzt die Malware eine Schwäche im Multitasking-System von Android aus.

Gemäss den Sicherheitsforschern verteilte sich die Malware via Play Store mittels sogenannter Dropper-Apps, welche dort verteilt wurden. Google soll darüber informiert sein und habe diese Apps bereits gelöscht. Die Sicherheitsforscher gehen aber davon aus, dass die Dropper-Apps jederzeit wieder im Play Store auftauchen könnten.

Im Blog-Eintrag heisst es, «alle 500 beliebtesten Apps sind gefährdet». Die Forscher beziehen sich dabei auf ein App-Ranking von 42 Matters; App-Namen hat Promon allerdings nicht bekannt gegeben.


    Kommentare

    • trs 04.12.2019, 15.02 Uhr

      ...scheint sehr weit hergeholt zu sein. vor allem das verlinkte Dokument, welches von 2015 stammt, macht die ganze Story nicht viel glaubwürdiger. Falls eine APP nach klaglosem Dienst aus heiterem Himmel nach mehr Berechtigungen fragt, klingeln bei mir jedenfalls die Alarmglocken. Alle Computer mit einem zeitgemässen Betriebssystem sind anfällig und fehlerbehaftet..... und falls das Leben und die eigene Identität davon abhängt, heisst das, zum Spielen und Basteln muss ein zweites, identisches Sy[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.