Android-Bug leaked WhatsApp-Chats und weitere Daten
Bug in Android kann für WhatsApp-Nutzer gefährlich werden
Bild: dpa
Offenbar wurden bis zu 25 Millionen Android-Handys mit Malware infiziert, die installierte Apps wie WhatsApp durch böse Versionen ersetzt. Diese gefälschten Apps schalten dann Werbung, warnten Cybersecurity-Forscher am Mittwoch.
Die Malware nutzt nach einem Bericht von Forbes bekannte Schwachstellen in Android aus, die normalerweise das Aktualisieren auf die neueste, gepatchte Version von Googles Betriebssystem zu einer Priorität machen, so das israelische Sicherheitsunternehmen Check Point.
Die Malware hat sich laut dem Bericht über den App Store "9apps" eines Drittanbieters verbreitet, der dem chinesischen Unternehmen Alibaba gehört, und nicht über den offiziellen Google Play Store. Typischerweise konzentrieren sich solche nicht über Google Play durchgeführten Angriffe auf Entwicklungsländer, was den Erfolg der Hacker in den USA und Großbritannien aber noch bemerkenswerter macht, sagte Check Point.
Google hat bisher nichts dazu gesagt
Bug in Android kann für WhatsApp-Nutzer gefährlich werden
Bild: dpa
Die meisten der bisherigen Opfer leben wohl in Indien, wo bereits 15 Millionen Nutzer infiziert worden waren. Offenbar gibt es aber mehr als 300 000 Infektionsfälle in den USA, und weitere 137 000 in Großbritannien. Dies sei eine der schwerwiegendsten Bedrohungen, die das Betriebssystem von Google in den letzten Jahren getroffen habe.
Zunächst läuft in den ersetzten Apps nur böswillige Werbung. Was die Hacker in einem möglicherweise zweiten Schritt mit den gefälschten Apps vorhaben, ist allerdings unklar. "Aufgrund der Möglichkeit, das Symbol vor dem Launcher zu verbergen und die Identität beliebter vorhandener Apps auf einem Gerät nachzuahmen, gibt es endlose Möglichkeiten, dass diese Art von Malware dem Gerät eines Benutzers Schaden zufügt", schrieben die Forscher von Check Point in einem Blog. Theoretisch können die Hacker über eine gefälschte WhatsApp-Version die komplette Messenger-Kommunikation mitlesen.
Die Forscher gaben an, sie hätten Google und die zuständigen Strafverfolgungsbehörden gewarnt. Google habe zum Zeitpunkt der Veröffentlichung aber keinen Kommentar zu der Sache abgegeben.
So funktioniert der Angriff
In der Regel geschieht der Angriff laut den Forschern folgendermaßen: Benutzer laden eine App aus dem chinesischen Appstore herunter - in der Regel ein Fotoprogramm, Spiele oder Erwachsenen-Apps. Diese App installiert dann im Hintergrund die Malware, die als Google-Aktualisierungstool getarnt ist. Auf dem Bildschirm wird dafür kein Symbol angezeigt. Legitime Apps, beispielsweise WhatsApp oder der Opera-Browser werden dann durch ein böses Update ersetzt und darin dann die Werbe-Anzeigen geschaltet. Die Forscher sagten, die Anzeigen selbst seien an sich nicht böswillig. Doch jeder Klick auf eine infizierte Anzeige sendet Geld zurück an die Hacker, wie dies bei einem typischen Pay-per-Click-System der Fall ist.
Scheinbar hatten die Angreifer sogar erwogen, zu Google Play zu wechseln. Die Check-Point-Forscher berichten, sie hätten im Google Play Store 11 Apps gefunden, die einen "ruhenden" Teil der Hackersoftware enthielten. Google nahm diese Apps nach dem Hinweis allerdings schnell aus dem Play Store.
Um sich zu schützen, empfiehlt es sich, keine Apps aus dubiosen Appstores zu installieren, wenn man sich nicht ganz sicher ist, dass die Apps wirklich sauber sind. Wer bereits infiziert ist, erkennt das daran, dass in eigentlich werbefreien Apps wie WhatsApp plötzlich Werbung auftaucht. Dann kann man zu den Android-Einstellungen gehen und dann zum Abschnitt "Apps und Benachrichtigungen". In der App-Übersicht sollte man dann nach verdächtigen Anwendungen mit Namen wie Google Updater, Google Installer for U, Google Powers und Google Installer suchen und diese deinstallieren.