Categories: SicherheitVirus

Hacker überfluten Android-App-Stores mit Spyware-Apps

Unbekannte haben in verschiedenen Android-App-Stores, darunter auch Googles Play Store, mehr als tausend Spyware-Apps eingestellt. Die Apps sind in der Lage, nahezu sämtliche Aktivitäten eines infizierten Geräts zu überwachen, wie Forscher des Sicherheitsanbieters Lookout herausgefunden haben. Die SonicSpy genannte Schadsoftware kann demnach aus der Ferne gesteuert werden und 73 unterschiedliche Befehle ausführen.

Die Schadprogramme werden von ihren Hintermänner, die Lookout im Irak vermutet, als Messaging-Anwendungen getarnt. Sie bieten sogar die beworbenen Funktionen, um zu verhindern, dass Opfer die Apps als Malware erkennen. Im Hintergrund übertragen die Messenger-Apps jedoch persönliche Daten an einen Befehlsserver der Hacker im Internet.

Im Play Store entdeckten die Forscher drei aktive, gefährliche Apps mit den Namen „Soniac“, „Hulk Messenger“ und „Troy Chat“, die Google inzwischen gelöscht hat. In App Stores von Drittanbietern seien jedoch noch zahlreiche Varianten der SonicSpy-Apps erhältlich. Lookout schätzt, dass tausende Geräte infiziert wurden. Alleine die App Soniac kam im Play Store auf 1000 bis 5000 Downloads . Aufgrund der legitimen Funktionen erreichte sie sogar eine durchschnittliche Bewertung von 4,1 von 5 möglichen Sternen.

SonicSpy basiert auf odifizierter Version des Messengers Telegram

Wird SonicSpy auf einem Android-Smartphone oder –Tablet installiert, versteckt sich die Malware, indem sie ihr Launcher-Icon verbirgt. Über ihren Befehlsserver lädt sie eine modifizierte Version des Messengers Telegram herunter. Diese App bringt die beworbenen Messaging-Features und auch die schädlichen Funktionen. Unklar ist laut Lookout, ob es die Täter auf bestimmte Nutzer abgesehen haben oder ob sie versuchen, Daten von so viel Nutzern wie möglich zu sammeln.

Lookout hat im Play Store die angebliche Messaging-App Soniac entdeckt, in der sich die Spyware SonicSpy verbarg (Bild: Lookout).

Bei der Analyse des Codes von SonicSpy fanden die Forscher zudem Übereinstimmungen mit einer anderen Spyware namens Spynote, die erstmals Mitte 2016 beschrieben wurde. Unter anderem nutzen beide dynamische DNS-Dienste und sowie den wenig gebräuchlichen Port 2222. Lookout geht deswegen davon aus, dass die Programme von derselben Hackergruppe stammen. Die Gruppe, die sich selbst „Iraqwebservice“ nennt, habe zudem schon früher Schadcode in Apps mit legitimen Funktionen versteckt.

Michael Flossman, Security Research Services Tech Lead bei Lookout, schließt nicht aus, dass SonicSpy-Apps erneut ihren Weg in den Play Store finden. „Die Hintermänner haben gezeigt, dass sie in der Lage sind, Spyware in den offiziellen Store einzuschleusen, und da sie aktiv weiterentwickelt wird und automatisierte Prozesse nutzt, ist es wahrscheinlich, dass SonicSpy künftig wieder auftaucht.“

Loading ...

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

12 Stunden ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

16 Stunden ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

18 Stunden ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

19 Stunden ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

21 Stunden ago

Bericht: Apple stellt Rechner mit ARM-Prozessor in den nächsten 18 Monaten vor

Das will Apple-Kenner Ming Chi Kuo von Informanten aus Apples Lieferkette erfahren haben. Der letzte Plattformwechsel fand 2006 von PowerPC…

2 Tagen ago