Trend Micro: Schädliche Apps im Play Store nutzen kritische Android-Lücke aus

Googles Sicherheitskontrollen sind erneut Apps entgangen, die Schadsoftware enthalten. Trend Micro fand nach eigenen Angaben im Play Store drei Apps, die Schadcode für die Anfälligkeit CVE-2019-2215 verbreiten. Sie steckt in der Android-Komponente Binder. Die Forscher gehen zudem davon aus, das hinter den Apps die seit 2012 aktive Hackergruppe SideWinder steht.

Die drei Apps tarnten sich im Play Store als Datei-Manager und Kamera-Apps. Sie waren offenbar seit März 2019 aktiv und wurden inzwischen aus Googles offiziellem Android-Marktplatz entfernt.

Einer Erkennung durch Sicherheitslösung entgingen die Apps offenbar, weil sie den Schadcode in zwei Schritten herunterluden und installierten – und dank der Sicherheitslücke jeweils ohne Wissen und ohne Interaktion mit dem Nutzer. Zur Tarnung setzten die Hintermänner aber auch auf Code-Verschleierung, Verschlüsselung und dynamischen Code.

Trend Micro stellte bei seiner Analyse zudem fest, dass die Schadsoftware in der Lage war, bestimmte Smartphones zu rooten, darunter Google Pixel 2 und 2XL, Nokia 3, LG V20 und Oppo F9. Auf Geräten anderer Hersteller mussten indes die Bedienungshilfen herhalten, um den Angreifern die Kontrolle über ein Smartphone zu geben. Sie wurden für die App FileCrypt Manager eingefordert. Sobald der Zugriff auf die Bedienungshilfen gewährt wurde, verbarg die Malware alle Aktivitäten hinter einem Vollbild-Fenster, dass weitere Einrichtungsschritte vortäuscht – in Wahrheit jedoch alle Eingaben an darunter liegende, nicht sichtbare Bedienelemente weitergibt.

Die Schadsoftware sammelte Informationen über die Geräte ihrer Opfer wie eine Liste aller installierten Apps, erstellte Screenshots und ermittelte den Standort. Außerdem stahl sie Daten von Apps wie WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail und Chrome, die verschlüsselt an einen Server im Internet übertragen wurden.

Die drei Apps sind laut Trend Micro der erste Versuch, die im Oktober 2019 bekannt gewordene Anfälligkeit CVE-2019-2215 auszunutzen. Angeblich handelt es sich um einen Exploit, den die NSO Group schon länger an Behörden und Regierungen verkauft, um sich Zugang zu Smartphones mutmaßlicher Straftäter zu verschaffen. Ein Patch wurde mit dem Oktober-Update für Android verteilt.