Hacking 05.12.2019, 08:15 Uhr

Sicherheitsforscher warnen vor Android-Schwachstelle StrandHogg

Die Malware kann sich hinter legitimen Apps verstecken und so harmlos wirkend Zugriffsberechtigungen erfragen. Ein Patch ist noch nicht verfügbar.
(Quelle: promon.co)
Ein Schadcode soll sich hinter legitimen Apps verbergen und so Berechtigungen zum Spionieren anfordern, berichtet «Heise Online». Promon-Sicherheitsforscher haben die Android-Schwachstelle gefunden, die sie StrandHogg nennen. Einem Promon-Blog-Eintrag (Englisch) zufolge sollen alle Android-Versionen bis und mit Android 10 betroffen sein.
Die Schwachstelle ermöglicht es Malware, nach Berechtigungen zu fragen, während sie vorgibt, die legitime Anwendung zu sein. Angreifer könnten unter gewissen Voraussetzungen z.B. über das Mikrofon mithören, auf die Kamera oder das GPS zugreifen sowie SMS lesen und senden. Promon warnt vor derzeit laufenden Attacken dieser Art.

So funktionierts

Wenn sich die Malware auf einem Gerät befindet, könnten Angreifer dieses aus der Ferne attackieren. Wenn Sie auf ihrem Smartphone eine reguläre App öffnen, hinter der sich Schadcode verbirgt, erscheint ein Pop-up-Fenster, welches um Zugriffsberechtigung bittet – beispielsweise für das Lesen und Schreiben von SMS. Wer dies akzeptiert, gibt unwissentlich statt der genutzten App den Angreifern die Zugriffs-Erlaubnis.
So funktionierts
Quelle: Screenshot/promon.co
Die Sicherheitsforscher zeigen in einem Video (s. unten) auch die Möglichkeit, dass die Malware ein Fake-Facebook-Login-Fenster anzeigen kann. Tippt ein Nutzer seine Login-Daten ein, gelangen Cyberkriminelle an diese Daten.

Voraussetzungen

StrandHogg ist insofern speziell, weil die Malware raffinierte Angriffe ermöglicht, ohne dass ein Gerät gerootet werden muss. Laut Blog nutzt die Malware eine Schwäche im Multitasking-System von Android aus.
Gemäss den Sicherheitsforschern verteilte sich die Malware via Play Store mittels sogenannter Dropper-Apps, welche dort verteilt wurden. Google soll darüber informiert sein und habe diese Apps bereits gelöscht. Die Sicherheitsforscher gehen aber davon aus, dass die Dropper-Apps jederzeit wieder im Play Store auftauchen könnten.
Im Blog-Eintrag heisst es, «alle 500 beliebtesten Apps sind gefährdet». Die Forscher beziehen sich dabei auf ein App-Ranking von 42 Matters; App-Namen hat Promon allerdings nicht bekannt gegeben.




Das könnte Sie auch interessieren